olmuşken , bugünde Petya isimli fidye yazılımı (ramsomware) özellikle Ukrayna , Rusya ve diğer avrupa ülkelerini vurdu Peki nasıl oluyorsa zaten tedbir alınmış olan bir fidye yazılımı 72 saat içerisinde 300.000 (Üçyüzbin) bilgisayara bulaşıyor ve kullanılmaz hale getiriyor , Ukrayna Siber Polisine göre, bir hükümet programı ile çalışan şirketlerin kullanması gereken bir muhasebe programına yerleştirilen Petya , yazılım güncelleme mekanizması ile yayıldı buda hükümet, bankalar, devlet elektrik kuruluşları , Kiev'in havaalanı ve metro sistemi dahil birçok Ukraynalı örgütün neden etkilendiğini açıklıyor hatta Çernobil'deki radyasyon izleme sistemi de bu saldırıdan etkilendiği için Radyasyon ölçümleri el sayaçları ile yapılıyor çünkü otomatik ölçüm sistemi devre dışı kaldı. Aşağıdaki resimde para çekmeye gidenlerin karşılaştığı ve sistemine Petya bulaşmış bir Bankamatiği görüyorsunuz

Petyayı (Petwrap) veya ExPetr ı WannaCry den farklı kılan nedir ?

Petya da WannaCry gibi SMBv1 Exploitini kullanıyor gel gelelim Kaspersky den yapılan açıklamaya göre zararlının ismi Petya değil daha önce benzeri görülmemiş bir tür , Petya’ya benzerlikleri olsada tamamen ayrı fonksiyonlara sahip oldukça karmaşık görünen saldırıda NSA’Den çalınan EternalRomance’ın (sızma yazılımı) modifiye edilmiş hali kullanılıyor kaspersky bu zararlıyı ExPetr olarak isimlendirmeyi tercih etti. Petya aslında Para kazanma amaçlı kodlanmış bir fidye yazılımı iken bu yazlım tamamen zarar verme amaçlı olup saldırgana fidyeyi ödeseniz bile verilerin şifresini çözecek anahtarı yollamıyor ayrıca WannaCry'den farklı olarak, bu "Petya" versiyonu, ağlar içinde dahili olarak yayılmaya çalışıyor. zararlı yazılım sisteme bulaştıktan sonra yeniden başlatmak için 10 ila 60 dakika arasında bir süre bekliyor Perfc.dat dosyası işletim sistemini devre dışı bırakacak süreci başlatıyor ilaveten PowerShell mimarisini kullanan PsExec , WMI sayesinde enfekte perfc.dat dosyasını ağdaki açık portlar üzerinden diğer tüm sistemlere göndererek diğer bilgisayarlara bulaştırıyor. Sistemi yeniden başlattıktan sonra aşağıdaki gibi bir ekran görürseniz bilgisayarın gücünü hemen kesin çünkü bu ekran sırasında geri planda bilgisayardaki dosyalar şifreleniyor

Eğer gücü kesmezsseniz ve Sistem yeniden başlarsa NTFS bölümündeki MFT tablosunu şifreleyerek MBR’yi fidye notuyla yeniden yazıyor yani bilgisayarın MBR si yerine kendi zararlı kodlarını yazdırıyor ve açılışta aşağıdaki ile karşılaşıyorsunuz

Petya (Petwrap) veya Expert saldırısından nasıl korunulur ?

1. Windows işletim sisteminizi güncel tutmanız şart , hangi güncellemeleri kuracağım derseniz Buradaki yazımızda yeralan WannaCry bölümüne gözatınız. Microsoft gerekli yamaların yanında artık kullanılmayan ve Bünyesinde ciddi açıklar barındıran SMBv1 paylaşım protokolünü kaldırmamızı öneriyor bunu birkaç farklı şekilde gerçekleştirebgiliriz :

a) Denetim masasına gidelim ve Program ekle kaldır kısmında yeralan "Windows özelliklerini aç veya kapat" linkine tıklayıp açılan ekranda aşağıdaki gibi SMB 1.0 ın tikini kaldıralım ve Tamam butonunu kullanalım. (bütün windows sürümlerinde geçerlidir)

b) Komut istemi (Cmd) yi Yönetici yetkileri ile çalıştırıp aşağıdaki komutu verelim

Dism /Online /Disable-Feature /FeatureName:SMB1Protocol /Quiet /NoRestart

ilaveten aşağıdaki komutları sırası ile vererek te SMB 1.0 ı kapatabiliriz

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi 
sc.exe config mrxsmb10 start= disabled

Bu konuda daha ayrıntılı bilgi için Microsoftun Buradaki makalesine gözatabilirsiniz. Microsoft,Windows 10 Fall Creators Update sürümünde SMBv1 i tamamen kaldırmayı planlıyor.

2. Symantec e göre ; zararlı ilk aşamada Windows klasörü altında "perfc" adlı bir dosya oluşturuyor , eğer daha zararlı bulaşmadan bu dosyayı manuel (elle) oluşturursak ve yetkilerini kısıtlarsak zararlı bulaşmış olsa bile hiçbir etkisi olmayacak ve durdurulmuş olacak

3. Eski NSA çalışanı Snowdene göre ; Eğer zararlı bulaşmış Bilgisayarı kendini yeniden başlatmadan kapatabilirsek verdiği zararı engelleyebiliriz çünkü en büyük zarar Bilgisayar yeniden başladıktan sonra oluşuyor.

Saldırıda son yayılma durumu nedir ve Dünyada gerçekleştirilen diğer siber saldırıları anlık görmek için Buradaki linki tıklayabilirsiniz. ilaveten bakınız