Petya / NotPetya / ExPetr fidye yazılımı saldırısı

[Son güncelleme 28 Haziran, 20:50]

Dün gece, yeni bir küresel fidye yazılımı saldırısı başladı. Ve görünen o ki geçtiğimiz günlerden hatırlayacağınız WannaCry kadar büyük olacak.

[Son güncelleme 28 Haziran, 20:50]

Dün gece, yeni bir küresel fidye yazılımı saldırısı başladı. Ve görünen o ki geçtiğimiz günlerden hatırlayacağınız WannaCry kadar büyük olacak.

Geçtiğimiz süre içerisinde farklı ülkelerden bazı büyük firmalar bu fidye yazılımından etkilendiğini belirtti. Salgının büyüklüğüne bakarak, bu olayın daha da büyüyeceğini söyleyebiliriz.

Kimi uzmanlara göre WannaCry olabileceği (hayır, değil) veya Petya‘nın bir türü olabileceği (Petya.A, Petya.D veya PetrWrap) düşünülüyor. Kaspersky Lab uzmanları ise bu tehditin Petya’nın bilinen türlerinden farklı olduğunu ve bu yüzden farklı bir zararlı yazılım ailesine ait olduğunu belirtiyor. Şimdilik ismine ExPetr (veya NotPetya) diyeceğiz.

Görünen o ki, bu saldırı farklı karmaşık vektörler bulunduruyor. En azından kurumsal ağlarda yayılması için EternatlBlue exploitinin modifiye edilmiş hali olduğunu söyleyebiliriz. Detaylı teknik bilgi için tıklayın.

Şimdilik Kaspersky Lab ürünleri bu yeni fidye yazılımını şu isimlerle tanıyor:

  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • UDS:DangerousObject.Multi.Generic (Kaspersky Security Network tarafından keşfedildi)
  • PDM:Trojan.Win32.Generic (System Watcher modülü tarafından keşfedildi)
  • PDM:Exploit.Win32.Generic (System Watcher modülü tarafından keşfedildi)

Kurumsal müşterilerimiz için

1. Kaspersky Security Network’ün ve System Watcher bileşenlerinin açık olduğundan emin olun.

2. Acilen antivirus veri tabanınızı güncelleyin.

3. Hatta önümüzdeki birkaç saat içerisinde manuel olarak tekrar tekrar güncelleyebilirsiniz.

4. Ek koruma sağlaması için Uygulama Ayrıcalığı Denetimi‘ni kullanabilirsiniz. Bu bileşen Kaspersky Endpoint Security’de bulunur ve tüm erişim girişimlerini engeller. Dolayısıyla perfc.dat ve PSExec’i engeller (Bu Sysinternals Suite’in parçasıdır).

5. Alternatif olarak, PSExec’in çalışmasını engellemek için Kaspersky Endpoint Security’nin özelliği olan Uygulama Başlatma Denetimi‘ni kullanın. Ancak lütfen Uygulama Ayrıcalığı Denetimi’ni perfc.dat‘ı engellemesi için kullanın.

6. Kaspersky Endpoint Security’nin Uygulama Başlatma Denetimi’nden Default Deny’ı (Otomatik Red) aktif edin, bu ve diğer saldırılara karşı proaktif koruma sağladığınızdan emin olun.

7. Ayrıca AppLocker özelliğini kullanarak da bahsettiğimiz perfc.dat‘ın çalışmasını ve PSExec’i engelleyebilirsiniz.

Bireysel kullanıcılar için öneriler

Ev kullanıcıları bu tehditten daha az etkilendiler. Saldırının arkasındaki kişiler büyük şirketleri hedef alıyor. Ancak, fazla koruma göz çıkartmaz. Şunları yapabilirsiniz.

1. Verilerinizi yedekleyin. Hatta bunu düzenli hale getirin.

2. Eğer bizim çözümlerimizden birini kullanıyorsanız, Kaspersky Security Network ve System Watcher (Sistem İzleyici) bileşenlerinin açık olduğuna emin olun.

3. Anti virüs veri tabanınızı manuel olarak kendiniz güncelleyin. Gerçekten, çok zaman alan bir işlem değil. Hemen yapın.

4. Windows için tüm güvenlik güncellemelerini yapın. Bu güncellemelerden biri EternalBlue’nun açığı kapatıyor. Nasıl yapacağınızı öğrenmek için buraya tıklayın.

Fidye ödemeyin

Motherboard’un yaptığı güncellemeye göre, Alman mail sağlayıcısı Posteo, kurbanların fidye ödedikten sonra iletişime geçmesi gereken mail adresini kapattı. Kapatılan mail adresine bitcoin gönderildiğini ve suçluların çözüm anahtarlarını gönderdiğini doğruladı. Bu, şu anlama geliyor; şu an fidye ödeyen mağdurlar, suçlularla iletişime geçemeyecek ve çözüm anahtarı alamayacaklar. Kaspersky Lab olarak, fidye ödemenizi önermiyoruz, zaten şu an fidye ödemeniz de işe yaramaz.

Güncelleme: Ayrıca, uzmanlarımızan analizleri doğrultusunda şunu söyleyebiliriz; kurbanların dosyalarını kurtarması için pek de şansları yokmuş.

Kaspersky Lab uzmanları yüksek seviyeli şifreleme kodunun rutinini analiz ettiler ve disk şifrelemeden sonra, şifreyi açamadığını keşfettiler. Şifreyi çözmek için yükleme ID’sine ihtiyaç var. Bu fidye yazılımına benzeyen diğer fidye yazılımlarında (Petya/Mischa/GoldenEye), şifre çözümü için yükleme ID’si gerekliydi.

ExPetr (NotPetya) fidye yazılımında ise yükleme ID’si yok. Bu da şu anlama geliyor, şifrelediği bilgisayarı çözmek için gerekli olan önemli bilgi mevcut değil. Kısacası, kurbanlar dosyalarını kurtaramazdı.

Fidye ödemeyin. İşe yaramaz.

Anti virüs programınız size ne diyor?

Yangın güvenliği ve bilgi güvenliği konularının ortak bir yanı vardır. İnsanlar genelde ikisine de hazır olmazlar, ikisi de başlarına geldiğine büyük panik yaşarlar. Eğer bir şey kötü giderse, hızlı ve doğru davranmanız lazım. Bu yüzden anti virüs programınızın ne dediğini anlamanız, tehdit ile karşılaştığınızda korunmanız açısından çok önemli. Hadi hep beraber göz atalım.

İpuçları