Sanal ortamda gün geçtikçe artan ve hızla yayılan saldırı teknikleri gün geçmiyor ki yenisi ve daha da etkili olmayanı ile karşılaşmayalım. Son zamanlarda ciddi şekilde hız kazanan fidye yazılımlarından en yenisini sizlerle paylaşmak ve saldırıdan etkilenmemek için önemli bilgiler paylaşacağım.
İsmi : Petya Ransomware.
Bir önnceki WannaCry fidye yazılımı gibi NSA EternalBlue tekniğini kullanıyor. Aşağıda yazılımın sisteminize bulaştıktan sonraki çalışma davranışı yer almaktadır:
1. Kötü amaçlı yazılım çalıştırıldığında, önce sistemin kapatılmasını ve ilgili görevleri ayarıyor:
2. Daha sonra, network üzerindeki cihazları tarar.
3. Ağ üzerinde açık olan SMB servisi çalışan cihazı bulur ve mümkünse o sistemede bulaşır. Buradaki amaç ağ üzerinde SMB servisi ile ortak olarak çalışan yada yedek alınan klasör ve dosyalarınızı da şifrelemektir.
3.5 Aşağıdaki kod, IP / ADMIN $ yolu ile algılanan yerel bilgisayara gönderilecek olan SMB isteklerini gösteriyor:
4. Belirlenen süreden sonra, MBR değiştirilir ve ardından sistem yeniden başlatılır. Aşağıda, önceki Petya sürümüne benzeyen sahte sistem onarım mesajı gösterilmektedir:
5. Hedef bilgisayardan istifade ettikten sonra sistem yeniden başlatılır. Önceki Petya fidye yazılımı ile benzer tebrik sayfası gösterilir:
6. Artık yapılacak bir şey kalmamıştır. Mağdurun şifreyi çözmesi için ödeme yapması gerekmektedir:(Kesinlikle itibar edip ödeme yapılmamalıdır. Bazı kişilerin ödeme yapıp verilerinin geri aldığı söylense de bu oran çok düşüktür.)
6.5 Bitcoin adresinin kötü amaçlı yazılım içine kodlanmış olduğu görülmüştür:
7. Koda göre, Windows Yönetim Araçları Komut satırı (WMIC) arabirimi kullanılmıştır:
Ödeme kabul eden bitcoin adresinin sahte olduğu tesbit edilmiştir.Bu uyarının yazıldığı günlerde toplam 3400 işlem tutarında 8.600 USD değerinde ödeme işlemi gerçekleşti. Kesin işlem buradaki adreste bulunabilir. Bununla birlikte, e-posta adresinin bugün(27/06/2017) öğle saatlerinde bloke edildiği bildirildi; bu, ödemenin kurbanın bulaşmış bilgisayarlarının şifresini çözmeye yardımcı olmayabileceği anlamına geliyor.
Daha fazla analiz yaparak, bu zararlı yazılımın, silinmiş verileri kurtaramadığı için fidye yazılımından çok bir silme işleminin olduğu tesbit edildi. Bulduğumuz kodda MBR'den yalnızca bir okuma işlemi yer almaktadır, ancak çoklu yazma işlemi var, bu da silinmiş konumdan yeterli veri okunmadığı ve yedeklendiği anlamına geliyor. Diğer bir deyişle, bazı veriler ilk etapta yedeklenmediği için kurtarılamaz. Aşağıda, verileri sabit konumdan dışarıya okuyan readMBR işlevi verilmiştir:
Aşağıdaki kodlar, birden çok yazma işlemi uygulandığını, ancak diskten okuma işlemi olmadığını gösterir. Özellikle writeSectorBlock işlevi, 0-24 ve ardından 32, 33 ve 34 sektörlerini yazmak için kullanılmaktadır. Bu nedenle, 0 sektöründe mevcut orijinal MBR yedek olarak tutulur, ancak 1-24, 32 ve 33 sektörleri yedek olmadan üzerine yazılır.
Yukarıdaki kod analizine göre, bu örnekteki kod orijinal Petya Ransomware koduna benzemektedir. Tek benzerlik MBR enfeksiyonu davranışıdır. Dolayısıyla, bunun muhtemelen fidye yazılımının Petya ailesiyle ilişkili kişilerden başka birinin yapmış olduğuna karar verebiliriz.
Bu zararlı yazılım tarafından saldırıya karşı önlem almak veya zararları azaltmak için lütfen:
- Bilgisayarınızı en yeni güncelleme ile koruyun; özellikle Microsoft Windows güvenlik güncelleştirmesi MS17-010'u uygulayın.
- Windows Güvenlik Duvarı'nı, 135, 139 ve 445 numaralı bağlantı noktalarına gelen istekleri engellemek için etkinleştirin.
- Windows'da SMBv1'i devre dışı bırakın https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows.
- Özellikle şirket ağ ortamında, ağınızı çoklu ağ bölümüne ayırın.
- Hasarın hafifletilmesi için sahte CHKDSK ekranını gördüğünüzde bilgisayarınızı kapatın.
- Fidyeyi ödemeyin. Öncelikle ödeme yapmanız için size gösterilen E-mail, E-posta sağlayıcısı Posteo tarafından engellendiğinden ödeme mesajınız teslim edilmeyecektir ve paranızı kaybedecsiniz.
İşletmenizde network alt yapınız var ise Akyol Bilişim olarak sizlere kesinlikle bu ve buna benzer zararlı yazılımlardan korunmak için gelişmiş bir UTM cihazı kullanmanızı tavsiye ediyoruz. Henüz sizin haberiniz olmadan bu yazılımlardan sisteminizi korur ve günceller. Çünkü bu ürünlerin uzman mühendisleri daha virüs dünyaya yayılmadan engelleyecek imzayı çıkarır ve kullanmış olduğunuz UTM Firewall cihazınıza yükler. Tek şart cihazınızın lisans süresinin dolmadığından ve firmware versiyonunun güncel olduğundan emin olmanız gerekiyor. Ayrıca düzenli olarak yedeklerinizi almayı unutmayınız.