Haber Detayı
Geçtiğimiz ay dünya çapında kaos yaratan, milyonlarca son kullanıcı ve kurumsal işletmeleri etkileyen WannaCry zararlı yazılımın etkisi her ne kadar azalmaya başlasa da, WannaCry gibi Windows SMBv1 vulnerability (zafiyeti) kullanarak yeni bir fidye yazılımı ortaya çıktı. Petya ismi verilen ( PetrWrap olarak da biliniyor) bu fidye yazılımı sadece 72 saat içinde 300.000 sistem ve sunucuya bulaştı.
MS17-010 (CVE-2017-0144) kodu ile isimlendirilen bu zafiyet, 27 Haziran 2017 itibariyle Petya (Win32/Diskcoder.Petya.C) adlı bir fidye yazılımı tarafından kullanılmaya başlandı.
F-Secure Güvenlik firmasının CRO Mikko Hypponen ‘e göre, Petya NSA(Amerikan Ulusal Güvenlik Ajansı) ‘nın Eternalblue exploit(zararlı yazılım) ‘ını kullanıyor fakat iç ağlarda WMIC ve PSEXEC ile hızlıca yayılıyor.
Ek olarak, Petya, kurbanların bilgisayarını yeniden başlatıp sabit disk sürücüsünün MFT (master file table) şifreler ve MBR (master boot record)’u çalışmaz hale getirir. Fiziksel disk üzerindeki dosya adlarını, boyutlarını ve dosya konumları hakkında bilgi toplayarak, bütün sisteme erişimi kısıtlar.
Petya fidye yazılımı, bilgisayarın MBR’ sini kendi zararlı kod ile değiştirir, ekran da sadece kendi notu gözükmektedir, bu sebeple bilgisayar başlayamaz.
Petya Fidye Yazılımı’ na kesinlikle ücret ödemeyin, dosyalarınızı asla geri alamazsınız!
Dosyalarınız şifrelendiyse artık ödeme yaparak dosyalarınızı geri alamazsınız çünkü hacker’ lar sizin e-postalarınızı okuyamaz. Alman e-posta servis sağlayıcısı olan Postoe , wowsmith123456@posteo.net adresini kullanıma kapattı. Bu yüzden fidye yazılımının şifrelediğini dosyaların çözme anahtarını geri almak mümkün değil.
 |
Resimde Petya fidye yazılımı bulaşan bir sistem gözükmekte, bu ekranı görüyorsanız artık dosyalarınız şu an için tamamen erişilemez durumda, dosyaları kurtarmayı deneyebilirsiniz ama zamanınızı boşa harcamayın, henüz Petya’ nın şifrelediği dosyaları çözebilen yok.
Ek olarak Petya’ nın en çok yayıldığı gün olan 27 Haziran’da VirusTotal sitesindeki analiz de 60 anti-virüs yazılımından sadece 16’sı tespit edebiliyorken, 30 Haziran tarihi itibariyle 60 yazılımdan 54’ü tespit edebilmektedir. Birkaç gün içerisinde bütün yazılımlar, bu zararlı fidye yazılımını yakalayacaktır.
 |
Doğu Ukrayna’da bir süpermarket
Ukrayna elektrik sağlayıcılarından Kyivenergo, saldırıya uğradıktan 2 saat sonra, bütün bilgisayar sistemlerini kapattıklarını ve tekrar geri açabilmek için, Ukraine's Security Service (SBU) tarafından onay beklediklerini açıkladı.
Ukrayna Merkez Bankası başta olmak üzere, bir çok banka Petya Fidye Yazılımı saldırısına uğradığını açıkladı.
Sadece bu alanlarla sınırlı kalmayan bu saldırı, telekomünikasyon şirketlerini, toplu ulaşım ağını, hava limanlarını, madenleri ve daha bir çok kurumsal işletmeyi etkilediği belirtildi.
Petya Fidye Yazılımından Nasıl Korunuz?
Petya Fidye Yazılımından korunmak için, mutlaka EternalBlue (MS17-010) Yaması yüklenmeli ve 30 yıllık olan SMBv1 file-sharing protocol servisi, sunucu ve bilgisayarda devre dışı bırakılmalıdır.
Uzmanların yapmış olduğu açıklamaya göre, eğer bilgisayarınıza Petya bulaşırsa, sistem ilk olarak sabit diski şifrelemek için bilgisayarınızı yeniden başlatacaktır bu yüzden böyle bir durumla karşılaşırsanız bilgisayarınızı kesinlikle açmayın. LiveCD(canlı disk) ya da başka bir makine kullanarak verilerinizi yedekleyebilirsiniz. Sistem Petya tarafından başlamadığı sürece hiçbir dosyanız şifrelenmeye tabi olmayacaktır.
Ek olarak, mutlaka güncel bir anti-virüs yazılımı kullanılmalı harici taşınabilir diskiniz kullanmadığınız zaman bilgisayara takılmamalı, verilerinizi düzenli olarak yedeklemenizi öneriyoruz.
Zararlı IP Adresleri
185.165.29.78
84.200.16.242
111.90.139.247
95.141.115.108
95.141.115.108
185.165.29.78
84.200.16.242
111.90.139.247
Zararlı URL Bilgisi
http://mischapuk6hyrn72.onion/
http://petya3jxfp2f7g3i.onion/
http://petya3sen7dyko2n.onion/
http://mischa5xyix2mrhd.onion/MZ2MMJ
http://mischapuk6hyrn72.onion/MZ2MMJ
http://petya3jxfp2f7g3i.onion/MZ2MMJ
http://petya3sen7dyko2n.onion/MZ2MMJ
http://benkow.cc/71b6a493388e7d0b40c83ce903bc6b04.bin
COFFEINOFFICE.XYZ
http://french-cooking.com/
Zararlı Mail Adresleri
wowsmith123456@posteo[.]net
iva76y3pr@outlook[.]com
carmellar4hegp@outlook[.]com
amanda44i8sq@outlook[.]com
Çeviri: Gökhan – BGYS Ekibi
Kaynak:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
http://thehackernews.com/2017/06/petya-ransomware-attack.html
http://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html
https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/