Petya Ransomware saldırısı: nasıl ve kim enfekte; nasıl durdurulur

WannaCry saldırılarında sömürülen EternalBlue kırılganlığının değiştirilmiş bir versiyonunu kullanan yeni bir fidye yazılımı saldırısı Salı günü meydana geldi ve İspanya, Fransa, Ukrayna, Rusya ve diğer ülkelerde dünya çapında 2000'den fazla PC'ye çarptı.

Saldırı öncelikle bu ülkelerdeki işletmeleri hedef alırken, Pittsburg, ABD'deki bir hastaneye de vuruldu. Saldırının mağdurları arasında Merkez Bankası, Demiryolları, Ukrtelecom (Ukrayna), Rosnett (Rusya), WPP (İngiltere) ve DLA Piper (ABD) bulunuyor.

En yüksek enfeksiyon sayısı Ukrayna'da, ikincisi ise Rusya'da en yüksek, Polonya, İtalya ve Almanya'dır. Ödemeleri kabul eden bitcoin hesabı kapatılmadan önce 24'ten fazla işlem gerçekleştirmiştir.

Ayrıca Okuyun: Petya Fidye Yazılım Hackerları E-posta Hesaplarına Erişimi Kaybetti; Mağdurlar Zorlu Bıraktı.

Saldırı Hindistan'daki işletmelere yönelik olmasa da, nakliye devi AP Moller-Maersk'i hedef aldı ve şirket limandaki Geçit Terminallerini işlettiği için Jawaharlal Nehru Limanı tehdit altında.

Petya Fidye Yazılımı Nasıl Yayılır?

Ransomware, WannaCry Ransomware saldırılarında bu ayın başlarında kullanılan ve Windows’un eski sürümlerinde çalışan makineleri hedef alan ve küçük bir değişiklikle kullanılan benzer bir istismar kullanıyor.

Güvenlik açığı, Windows XP - Windows 2008 sistemlerini çalıştıran bilgisayarlarda uzaktan kod yürütme yoluyla yararlanılabilir.

Fidye yazılımı PC'yi etkiliyor ve sistem araçlarını kullanarak yeniden başlatıyor. Yeniden başlatmanın ardından, MFT tablosunu NTFS bölümlerinde şifreler ve MBR'nin üzerine fidye notunu görüntüleyen özelleştirilmiş bir yükleyici ile yazar.

Kaspersky Labs'a göre, “Yaymak için gerekli bilgileri yakalamak için, fidye yazılımı özel araçlar kullanıyor: la Mimikatz. Bunlar, lsass.exe işleminden kimlik bilgilerini alır. Çıkarma işleminden sonra, kimlik bilgileri bir ağ içinde dağıtım için PsExec araçlarına veya WMIC'ye iletilir. ”

Bir PC Enfekte Olduktan Sonra Ne Olur?

Petya bir PC'yi enfekte ettikten sonra, kullanıcı üzerinde kırmızı bir metin bulunan ve aşağıdaki gibi görünen siyah bir ekran görüntüleyen makineye erişimi kaybediyor:

“Bu metni görürseniz, dosyalarınıza erişilemez, çünkü şifrelenmiştir. Belki de dosyalarınızı kurtarmanın bir yolunu bulmakla meşgulsünüz, ancak zamanımızı boşa harcamayın. Şifre çözme servisimiz olmadan hiç kimse dosyalarınızı kurtaramaz. ”

Ayrıca Bitcoins'te 300 $ 'lık ödeme ve şifre çözme anahtarını girip dosyaları almanın bir yolu var.

Nasıl Güvende Kalınır?

Şu anda, sağlam bir şifreleme anahtarı kullandığından Petya Ransomware tarafından rehin tutulan dosyaların şifresini çözmenin somut bir yolu yoktur.

Ancak güvenlik web sitesi Bleeping Computer 'perfc' adlı salt okunur bir dosya oluşturmanın ve bunu C sürücüsündeki Windows klasörüne yerleştirmenin saldırıyı durdurmaya yardımcı olabileceğine inanıyor.

Aynı zamanda, EternalBlue tarafından sömürülen güvenlik açığını sonlandıran eski Windows işletim sistemleri için Microsoft yamasını hemen indirip yüklemiş kişilerin de önemli olması gerekir. Bu, Petya gibi benzer bir kötü amaçlı yazılım türünün saldırılarına karşı korunmalarına yardımcı olacaktır.

Makine yeniden başlatılırsa ve bu mesajı görürseniz, hemen kapatın! Bu şifreleme işlemidir. Gücü açmazsanız dosyalar iyi durumdadır. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27 Haziran 2017

Her geçen gün fidye yazılım saldırılarının sayısı ve büyüklüğü artarken, yeni enfeksiyon riskinin saldırının ilk birkaç saatinden sonra önemli ölçüde azalması önerilmektedir.

Ayrıca Okuma: Ransomware Rise Saldırıları: İşte Nasıl Güvende Kalınır.

Ve Petya örneğinde, analistler, kodun bunun ağın ötesine yayılmayacağını gösterdiğini tahmin ediyor. Henüz kimse bu saldırıdan kimin sorumlu olduğunu belirleyemedi.

Güvenlik araştırmacıları, Petya Ransomware'in bulaştığı sistemlerin şifresini çözmenin bir yolunu hala bulamamışlardır ve şu anda bilgisayar korsanları ile bağlantı kurulamadığı için, etkilenen herkes şimdilik bu şekilde kalacaktır.