Petya Değil'in varisi: Kötü Tavşan


28 Ekim 2017 02:26

Geçtiğimiz hafta Rusya, Bulgaristan, Ukrayna, Almanya ve Türkiye’de çeşitli şirketler yeni bir fidye yazılımının saldırısına uğradı. İlk bakışta Petya ve WannaCry salgınlarını hatırlatan ve Kötü Tavşan adı verilen bu yeni zararlı şifrelediği dosyaları açmak için 0.05 Bitcoin (yaklaşık 1000 TL) talep ediyor. 

WannaCry’ın ayrım gözetmeden herkesi hedefleyen saldırısının aksine Kötü Tavşan sistematik bir şekilde şirketleri hedef alıyor. Daha önceden hacklenmiş sitelere yüklenen bir kod aracılığı ile siteye girmeye çalışan ziyaretçilerin verilerini bir başka sunucuya aktarıyor. Bu sunucu gelen verilere göre ziyaretçinin hedef olarak seçilip seçilmeyeceğini belirleyip bu bilgiyi geri iletiyor. Eğer uzaktaki sunucudan onay gelirse Kötü Tavşan ziyaretçiye bir Adobe Flash güncellemesi olarak sunuluyor. Kullanıcının bu sahte Flash güncellemesini çalıştırması ile sisteme bulaşan Kötü Tavşan, ağdaki diğer bilgisayarlara yayılmak için Amerikan Milli Güvenlik Ajansından (NSA) çalınıp ShadowBrokers adlı grup tarafından kamuya sızdırılan EternalRomance adlı açığı kullanıyor[0]

Kötü Tavşan’ın kodunun kayda değer bir kısmı ya Petya Değil ile aynı ya da Petya Değil’in kodlarının geliştirilmiş, açıkları giderilmiş hali. Bu da Kötü Tavşan’ın Petya Değil’i hazırlayan kişi ya da kişilerce hazırlandığına işaret ediyor. Çeşitli antivirüs yazılımları Kötü Tavşan’a karşı koruma sağladıklarını iddia etse de tedbiri elden bırakmamakta yarar var:

- İşletim sisteminizi  güvenlik güncellemelerini yüklemek en azından bilinen güvenlik açıklarına karşı koruyacaktır. 

- Antivirüsünüzün veri tabanının güncel olduğuna emin olun.

- İnternet’ten gelen ve kaynağı ile orijinalliğinden emin olmadığınız dosyaları size nasıl ve ne adla sunulursa sunulsun çalıştırmayın.

- Önemli dosyalarınızı bilgisayarınız dışında bir yere; bir harici diske ya da her hangi bir bulut depolama servisine yedekleyin.

- Kötü Tavşan’a özel olarak Windows dizini altındaki infpub.dat ve cscc.dat dosyalarının çalıştırılmasını engelleyin.

[0] https://goo.gl/4Amsbe 

www.evrensel.net