Petya fidye yazılımının bir çeşidi tarafından gerçekleştirildiği belirtilen büyük çaplı bir fidye yazılım saldırısı, özellikle Avrupa’da farklı sektörden birçok kullanıcıyı etkiledi. Trend Micro’nun RANSOM_PETYA.SMA olarak saptadığı bu fidye yazılımı, EternalBlue güvenlik açığını ve PsExec aygıtını kullanarak yayılıyor. Saldırıdan korunmak isteyen kurumlar ve kullanıcılar aşağıdaki adımları uygulayabilirler:

  • Sistemlerinizi yamalayın ve güncelleyin (MS17-010 güvenlik yamasını uygulayın)
  • Firewall’larınızın yanı sıra ihlal belirleme ve engelleme sistemlerini de devreye sokun.
  • Ağınıza giriş – çıkış yapan trafiği proaktif bir şekilde izleyin (TCP 445 port’unun erişimini engelleyin)
  • E-mail ve web siteleri gibi saldıranların sisteme giriş yapabilecekleri diğer noktalar için de güvenlik mekanizmaları uygulayın.
  • Sistemde istenmeyen değişimleri engelleyebilecek davranış takibini gerçekleştiren şüpheli dosyaları engellemek için uygulama kontrolünü uygulayın.
  • Veri sınıflandırmayı ve ağ segmentasyonunu kullanarak verinin açığa çıkmasını ve zarar görmesi riskini azaltın.

Bu fidye yazılımının sisteme ilk girişi PsExec aygıtı yoluyla gerçekleşiyor. Microsoft’un bu yardımcı programı uzaktan erişimli sistemlerdeki işlemleri yönetmek için kullanılıyor. Petya bunun dışında WannaCry saldırısında da kullanılmış olan Server Message Block (SMB) v1’i hedef alan “EternalBlue” güvenlik açığından da faydalanıyor. Petya’nın bu türü sisteme girdiğinde, rundll32.exe isimli uygulamayı kullanarak sistem içinde kendisini çalıştırıyor.

Şifreleme işlemi ise Windows klasöründe bulunan perfc.dat dosyası üzerinden yapılıyor.

Bu işlemlerin ardından zamanlanmış bir görev belirleyen Petya fidye yazılımı, en az bir saat içinde sistemi baştan yüklüyor. Bu arada Master Boot Record (MBR) değiştirilerek, şifreleme işlemi uygulanıyor. Sonrasında kullanıcılar fidye notuyla karşılaşmaya başlıyor. Asıl şifreleme işlemi sürdürülürken, sahte bir CHKDSK uyarısı gönderiliyor. Fidye yazılımlarda pek görmeye alışık olmadığımız şekilde şifrelenmiş dosyaların uzantıları değişmiyor. Şifrelemenin hedefi durumundaki 60’dan fazla dosya uzantısı arasında ise kurumsal ayarlarlarda kullanılan dosya türleri öne çıkıyor. Diğer fidye yazılımlarının odağındaki resim ve video dosyaları ise hedef dışında kalıyor.

Petya fidye yazılımının “EternalBlue” güvenlik açığından faydalanmanın yanı sıra WannaCry’la başka benzerlikleri de var. Mevcut Petya çeşidinin fidye süreci de oldukça basit. Programın içine gömülmüş bir Bitcoin adresi kullanarak, şifre çözüme işlemini saldırganlar tarafında, emeğe dayanan bir süreç haline getiriyor. Daha önceki Petya saldırıları ise tam tersine, bu sürece yönelik çok daha gelişmiş kullanıcı arayüzleri (UI) kullanıyorlar.

Her kullanıcıdan 300 dolar isteniyor. İlgili Bitcoin adresine ise şimdiye kadar 7 bin 500 dolarlık ödeme gerçekleştirildi. Tüm fidye yazılım saldırılarında önerdiğimiz gibi fidyeleri ödememenizi tavsiye ediyoruz. Özellikle bu saldırıda, fidye notunda yazılı olan e-mail hesabı da artık aktif değil.

Trend Micro’nun OfficeScan, Deep Security, Titanium, Worry-Free Business Security ve Deep Discovery çözümleri EternalBlue güvenlik açığı kanalıyla bulaşan Petya fidye yazılımını proaktif bir şekilde tespit ediyor ve engelliyor.