01 Temmuz 2017 00:50

Petya: Ne biliyoruz nasıl korunacağız?

Fotoğraf: Envato

Paylaş

İsmail Gökhan Bayram

Tüm yazıları

WannaCry’ın yankıları daha yeni dinmişti ki yine bir fidye yazılımı istilası ile karşı karşıya kaldık: Petya. Salı günü bazı uluslararası şirketlerin bilgisayarları ile başlayan Petya salgını hızla yayılarak 10 binlerce bilgisayara bulaştı.

Petya’nın çalışma mekanizması WannaCry ile benzerlik göstermekle birlikte pek çok açıdan daha gelişkin. İstila kullanıcının sahte içerikli bir e-posta ile yönlendirilen dosyayı çalıştırması ile başlıyor. Dosya çalıştırılmasının ardından kullanıcıdan tıpkı bir program kurulumunda olduğu gibi yükseltilmiş yetkiler istiyor. Eğer yetki verilirse virüs harddiskin ana ön yükleme kaydını değiştiriyor ve bilgisayarın yeniden başlatılmasını sağlamak için Windows’un mavi ekran vermesine yol açıyor. Bilgisayarın yeniden başlatılmasının ardından açılış sırasında Windows yerine Petya virüsü çalışıyor ve Windows’un disk kontrol ekranına benzer bir ekranda sabit diskin kontrol edildiği görünümü altında dosyalar şifreleniyor. Eğer yükseltilmiş yetkiler verilmez ise virüs kendini ana ön yükleme kaydına yazma olanağı bulamıyor. Ancak bu durum dosyaların şifrelenmesine engel olmuyor. Dosyaların şifrelenmesinin ardından kullanıcı 300 dolarlık fidye mesajı ile karşı karşıya kalıyor. Petya yerel ağ üzerinden kendini yayabilmek için Amerikan Milli Güvenlik Ajansı’ndan (NSA) çalınan -WannaCry’ın da kullandığı- EternalBlue exploitini kullanıyor.

Dijital güvenlik firması f-secure’nin analizine [0] göre 3 ayrı modülden oluşan Petya’nın ağ üzerinden yayılabilmesini sağlayan modulü işin aceleye geldiği izlenimini oluşturan diğer iki modüle, göre çok daha iyi tasarlanmış ve test edilmiş. Bu modülle ilgili ilginç bir detay modülün Şubat ayında tamamlandığına dair ciddi işaretler olması. Yani EternalBlue exploitini kullanan modül exploitin Shadow Brokers tarafından Nisan ayında kamuya açıklanmasından önce yazılmış. İki olasılık var: Petya ya Shadow Brokers ile ya da NSA ile bağlantılı bir grup tarafından yazıldı.

Petya ve benzeri fidye yazılımlarından korunmak mümkün:

* Bu tip yazılımların büyük çoğunluğu Windows işletim sisteminin versiyonlarını hedef aldığından Windows’tan Linux’e geçiş bu tip saldırıların önemli bir kısmından etkilenmemenizi sağlar.

* En azından bilinen açıklara karşı koruma sağlamak için en azından bilinen açıklara karşı koruma sağlar ister Windows, ister Linux isterse de MacOS olsun işletim sistemini güncel tutmak.

* Bir anti-virüs yazılımı kullanmak ve bu yazılımı güncel tutmak.

* Kaynağı ve orjinalliğinden yüzde yüz emin olmadığınız linklere tıklamamak.

* Mevcut bilgisayarlarınız dışında bir yere, örneğin bir harici diske ya da bir bulut depolama servisine dosyalarınızı yedeklemek.

* Petya’nın bu varyantı için özel bir tedbir olarak Windows dizininde “perfc” adında uzantısız bir dosya oluşturmak.

Yeterli düzeyde tedbir aldığınızda Petya ve benzeri salgınlarda huzur içinde bir kenarda durup panik halinde koşuşturanları bıyık altından gülerek izleyebilirsiniz.

[0] https://goo.gl/Ympc8u