Petya Ransomware

Son zamanlarda birçok ransomware, Türkçesiyle “fidye virüsleri” dünyayı kasıp kavurmakta. Nedir bu ransomware denilen olay? Nasıl yayılır? Nasıl önlenir?

Ransomware bir çeşit zararlıdır. Bilgisayarınıza yerleştikten sonra tüm dosyalarınızı şifreler (encryption) ve şifreleri çözmek için sizden para talep eder (şu ana kadar olanlar hep para talep ediyordu). Parayı gönderirseniz, şifre çözme anahtarını tarafınıza iletir ve böyle dosyalarınıza geri kavuşursunuz. Tabii şifre çözme anahtarlarını göndereceklerinin garantisi de yok. Örneğin, bu yazıya konu olan Petya isimli zararlımızın programcıları, şifre çözme anahtarı falan teslim etmiyormuş.

Korunma yöntemleri konusunda, sizlere normalde internette Türkçe sayfalarda bulabileceğinizin dışında tek bir şey diyebilirim.

Petya, Windows işletim sistemlerine etki eden zararlı. Ayrıca birden fazla türü de bulunuyor bu arkadaşın. (şu anda yayılanı genel olanı değil, farklı bir sürümü) Her neyse, şu anda 61 antivirüsten 16 tanesi Petya’yı zararlı olarak tanımlıyor.

Bir diğer nokta, Petya içerisinde bir kill-switch bulunması. “C:\Windows\perfc” dosyasını oluşturduğunuz zaman virüs otomatik olarak kendisini kapatıyor. Bulaştıktan sonra bunu yapmak bir çözüm sağlamaz diye düşünüyorum fakat şu anda oluşturmakta fayda var (uzantı olmamalı). Etkili bir silah.

Diğer uyarıma geleyim. Petya, kendisini MFT’yi şifreliyor ve MBR’ı işlemez hale getirip kendisini kopyalıyor. Yani işletim sisteminizi yeniden başlattığınızda, sisteme erişemiyorsunuz ve size dosyalarınızın şifrelendiğine dair bir yazı gösteriyor. Bazı kaynaklara göre, bu yazı görünürken şifreleme yapılıyor. Yani WannaCry gibi önce şifreleyip sonra yazı göstermiyor. Yazıyı önce gösteriyor, o esnada da şifrelemeye devam ediyor. Bu senaryonun gerçek olması halinde yapmanız gereken bilgisayarlarınızı hemen kapatmak. Daha sonrasında Live bir Linux imajı ile bilgisayarınızı çalıştırmak ve dosyalarınızı aldıktan sonra format atmak.

Nasıl Yayılıyor?

Bu arkadaş yayılırken NSA açıklarından olan EternalBlue açığını kullanıyor. SMBv1 açıkları yani.

Dikkat ettiyseniz, son zamanlarda birçok tehlikeli ransomware NSA açıklarını kullanarak dağıtıyorlar ortalığı. WikiLeaks bu konuda kodları yayımlamakla iyi mi yaptı kötü mü yaptı bilinmez fakat tüm dünyanın anında haberdar olduğu bir duruma karşı uzunca bir süre üreticilerin sessiz kalması da şaşırtıcı. Sanırım bir ransomware’dan etkilenmeyi bekliyorlardı güncelleme için.

Açıklar hala kendini muhafaza diyor WikiLeaks’te. Üreticilerin bir an önce hepsini kapatmaları gerekiyor ransomware’lar çoğalmadan. WannaCry artık etkisiz çünkü fix geldi. Bugün Petya, yarın X, Y, Z olacaktır çünkü öbür türlü.

Ayrıca bu ransomware olayı bizlere NSA’in ne kadar yetenekli bir kurum olduğunu da kanıtlıyor…