Korunun

Geçtiğimiz Mayıs ayının en büyük olayı olan Wannacry fidye yazılımı aralarında Türkiye’nin de bulunduğu 150’den fazla ülkeyi etkilemişti. Binlerce sistemi ele geçiren yazılım bastırılmış olsa da yenileri gelmeye devam ediyor. Üstelik, artık daha güçlü bir şekle evrilmiş durumdalar.
Salı günü aktarılan raporlara göre başımıza yeni bir Ransomware – Fidye yazılımı bulaşmış görünüyor. İlk olarak Petya adıyla anılan bu zararlı, aslında Mart ayından beri bulunuyor ancak KasperskyLab ve siber güvenlik uzmanlarına göre bu Petya’ya oldukça benzese de aslında tamamen farklı bir varyant. Hatta bazılarını bu saldırıyı ve zararlı fidye yazılımını ”NotPetya” veya ”ExPetr” olarak adlandırmakta, ama sonuçta isimden ziyade bunun son derece riskli bir saldırı olduğu ve şimdiden bazı ülkeleri ciddi anlamda etkisi altına almış görünüyor.

Wannacry’dan Daha Kötü

Genel kullanımda Petya olarak adlandırılan yazılımın Wannacry gibi NSA’den çalınan sızma yazılımı EternalBlue‘nun modifiye edilmiş halini kullandığı belirtiliyor. Ancak Wannacry’dan daha kötü.
Aktarılanlara göre Petya, ekstra bazı güçlere de sahip. NSA analisti ve siber güvenlik uzmanı David Kennedy’ye göre sistemler arasında yayılabilen yazılım bunu, PsExec’i kötüye kullanarak yapıyor. Yani, bu virüsün bulaştığı bilgisayar, bir ağa bağlıysa ya da yönetici erişimi varsa, ağdaki diğer her bilgisayara bu fidye yazılımı doğrudan bulaşabilir.
Sistem bulaştıktan 10 ila 60 dakika bekliyor ve sistemi yeniden başlatarak NTFS bölümündeki MFT tablosunu şifreleyerek MBR’yi fidye notuyla yeniden yazıyor. Sistem açılınca ise fidye notunda “Tüm dosyalarınızı güvenli ve kolay bir şekilde kurtarabileceğinizi garanti ediyoruz. Tek yapmanız gereken ödemeyi yapmak ve şifreyi çözecek anahtarı almak”. Ödeme olarak 300 dolar değerinde Bitcoin talep ediliyor. Ancak ödemenin yapılması halinde bile şifre anahtarının çoğunlukla gönderilmediğini de belirtelim.
Microsoft sözcüsünün yaptığı açıklama da aslında olayın ciddiyetini ortaya koyuyor. Microsoft’un aktardığına göre Petya, sistemlere girmek ve yayılmak için pek çok farklı yol kullanmakta, buna firmanın Wannacry için dağıttığı güvenlik yaması da dahil. Ayrıca fidye yazılımın yine genel olarak e-posta yoluyla yayılmaya çalıştığı belirtiliyor, yani kaynağından emin olmadığınız herhangi bir e-posta’yı açmayın. Bununla birlikte MS Sözcüsü, firmanın konu hakkında çalışmalarının sürdüğünü ve gerekli önlemleri alacağını belirtmekte.

Şimdiye Kadar Etkilenenler

Petya’dan şimdiye kadar etkilenen 2000 kullanıcının olduğu aktarılıyor. En çok etkilenen ülkeler Rusya ve Ukrayna olurken Polonya, İtalya, İngiltere, Almanya, Fransa, ABD ve bazı diğer ülkelerde etkilerin görüldüğü yerlerden.

Danimarkalı ulaştırma ve enerji şirketi Maersk web sitesinde ve Twitter hesabında “Maersk IT sistemleri siber saldırı nedeniyle birden fazla şantiye ve iş birimi arasında çökmüş olduğunu doğrulayabiliriz” açıklamasında bulundu.
Ukrayna merkez bankası kurumsal müşterilerine saldırı yüzünden  hizmet veremez hale geldiğini açıklarken ülkenin elektrik kuruluşlarından olan Ukrenergo ve Kyivenergo’nun da saldırıdan sistemleri etkilenmiş halde.
Bunlarla birlikte Rus petrol şirketi Rosneft, Kiev’in Borispol Havalimanı ve ABD’nin en büyük ilaç işletmelerinden Merck’in bilgisayar sistemlerinin saldırıdan etkilendiği ve çeşitli aksamaların meydana geldiği aktarılıyor.

Ne Yapmalıyım?

İlk olarak yapmanız gereken her ne kadar Petya’nın Microsoft’un yayınladığı güvenlik yamasını geçmeye çalıştığı belirtilse de bu yamanın sisteminizde kurulu olması en azından riski düşürecektir. Yamayı İNDİRİN ve yükleyin.
Kaynağı belli olmayan, güvenliğinden emin olmadığını e-postaları açmayın, sisteminizi güncel tutun, yaptığınız korsan uygulama-oyun-program vb indirmelere dikkat edin. Bunlar, riski azaltacaktır.