Siber saldırının yeni adı Petya
Muhasebe yazılımının güncellemesinden sonra yayılmaya başlayan fidye yazılımı uluslararası şirketleri de vurmaya başladı.
Mayıs ayında global düzeyde tarihin en büyük fidye yazılımı saldırısı WannaCry'ın gerçekleşmesinin ardından dünya yeni ve büyük bir siber saldırı ile karşı karşıya kaldı.
ESET güvenlik araştırmacılarının yaptığı incelemelere göre yeni salgının başlangıç noktası Ukrayna. Saldırıdan etkilenen diğer ülkeler ise Rusya, İtalya, İsrail, Romanya, ABD, Litvanya, Macaristan ve Polonya oldu.
Finans, enerji, lojistik ve diğer birçok endüstri saldırıdan etkilendi. Petya'nın bir türevi olan yeni fidye yazılımı, bilgisayarlarda MBR ünitesine bulaşmayı başarırsa tüm disk sürücüsünü şifreliyor. Bunu başaramazsa tüm dosyaları şifreliyor.
Ukrayna'da çok kullanılan bir muhasebe yazılımının web sitesinden güncelleme şeklinde yayıldığı tespit edilen yeni zararlı Petya dünyayı etkisi altına alabilmek için Mayıs ayında ortaya çıkan WannaCry gibi EternalBlue exploitini kullanıyor.
Ayrıca ağ içerisinde de yönetici yetkisine sahip bir kullanıcının sisteme dahil olduğu bilgisayardan kullanıcı bilgilerini çalıp , ağ içinde açık olmayan bilgisayarlara da bulaşabiliyor.
ESET Güvenlik Araştırmacısı Robert Lipovsky; Petya'nın diğer zararlı yazılımlardan farklı olarak tek tek dosyaları şifrelemek yerine, dosya sistemini ele geçirmeye çalıştığını paylaştı. Sistem açılışından hemen sonra işletim sisteminin yüklenmesinden sorumlu mağdurun ana ön yükleme kaydı olan MBR hedef alınıyor.
Zararlı bulaştıktan sonra diskin MBR'sini şifreleyip 30-45 dakika içinde bilgisayarı yeniden başlatıyor. Bilgisayar yeniden başlatılırken sahte bir chkdsk mesajı çıkarıyor. Bu aşamada bilgisayar kapatılırsa tüm diskin şifrelenmesi engellenebiliyor. Zararlının MBR ve diski şifreleyen bileşeni dışında normal kullanıcı dosyalarını şifreleyen bir bileşeni daha bulunuyor.
Siber suçlular bilgisayarda verileri çözmek için 300 USD karşılığı bitcoin istiyor. Ancak verilen e-posta kapatıldığı için ödeme yapanların da şifreleri alma şansı artık yok. Kullanıcılar şifre çözme anahtarı alamayacakları için fidye ödemesi yapması da anlamsız hale geliyor.
Araştırmacılar, C:Windows dizini altında perfc isimli dosya oluşturup yalnızca okunur hale getirmek zararlıya karşı bilgisayarları aşılı hale getirdiğini tespit ettiler.
Tedbir olarak ne yapmalı?
Mutlaka güncel ve proaktif bir güvenlik yazılımı kullanınız.
Sistem yamalarını güncelleyiniz.
Bilgisayarı kapatmak ve yeniden ön yükleme yapmak, disk şifrelemesini önleyebilir.
Tanımadığınız kişilerden gelen e-postalardaki ekleri açmayınız. Ayrıca bildiğiniz ve güvendiğiniz birinden gelen e-mail içerisinde beklemediğiniz ve talep etmemiş olduğunuz bir ek varsa da açmamanız öneriliyor.
İşleri gereği sürekli farklı kişilerden e-posta alan iş arkadaşlarınızı uyarınız u2013 örneğin muhasebe departmanları veya insan kaynakları departmanlarını gibi.
Verilerinizi düzenli olarak yedekleyiniz. Bu, tehdidin bulaşması durumunda; verilerinizi geri yükleyebilmenizi sağlayacaktır. Yedeklerinizi depoladığınız harici depolama aygıtlarını bilgisayarlara bağlı durumda bırakmayarak yedeklerinize de virüs bulaşma riskini ortadan kaldırınız. Sisteminizin, güvenlik açığını kapatmak için Windows Update üzerinden güncelleme alması gerekiyorsa, güncelleme yaptıktan sonra yeni bir yedek alınız.
Virüs İmza Veritabanı Sürümünün en güncel sürümde olduğuna emin olunuz.
