Petya ransomware virüslerinin bir çeşidi.
WannaCry’nin sistemlerde yayılması için kullanılan EternalBlue, Aynı sekılde Petya’ dada kullanılıyor.
WannaCry’den farklı olarak, Petya farklı bir fidye yazılımı. Sık kullanılan yöntemler aynı şekilde petya’dada mevcut, kimlik avı e-postaları veya aldatmaca teknıklerı yani sisteme bulaşmak için kullanılan teknikler yine bariz şekilde değişmiyor.Petya,bulastığı sistemde verileri şifrelemek için yerel yönetici erişimine ihtiyaç duyuyor.
Şimdi diyeceksiniz’ki iyide bunlar wannacry dada vardı ve petya dada var ama yine binlerce sisteme yayılmayı başardı?
İşte bunun sebebı şirketlerin yada kısısel sıstemlerın sahıplerı ısın cıddıyetını kavrammayıp hala daha gereklı guncellemelerı yapmayıp e postalarına gelen her maıldekı ekı calıstırmasından kaynaklanıyor sunu unutmayın sızı ne bır fırewall yada bır antıvirus guvende tutabılır size guvende tutabılecek tek sey kendınızdir.Bılınclı davranıp ısın cıddıyetının farkına dosyalarınız sıfrelenmeden once varırsanız yanı bılınclı bır ınternet kullanıcısı olursanız emın olunkı bu tıp zararlı yazılımlar sızın yanınıza bıle yaklasamaz, güvenlik farkındalıkla başlar.
Önleme İpucu # 1: Kötü amaçlı yazılım, yerel bilgisayarda yönetici haklarını gerektirir. Standart kullanıcılar yazılıma yönetici izni vermelidir. Kuruluşlarda istismar kodunun yürütülmesini önlemek için kimlerin yerel yönetici haklarına sahip olduğunu kısıtlamayı düşünün derim. Ev kullanıcıları, günlük işlemler için Standart Kullanıcı Hesabı kullanmayı da düşünmeli.
Bir kez çalıştırıldıktan sonra, şifreleme işlemini başlatan petya yazılımı sistemin ön yukleme kaydını(MBR), özel önyükleme kaydı ile değiştirir.MBR değiştirildiğinde, petya sistemin çökmesine neden olacaktır. Bilgisayar yeniden başlatıldığında, verileri şifreliyen çekirdek yüklenir ve sahte bir disk denetleme işlemi gösteren bir ekran görünür.
İşte bu ekranda, çoğu Windows işletim sisteminde yaygın olarak bulunan NTFS disk bölümlerinde olan Ana Dosya Tablosu’nu (MFT) şifrelenmeye başlamıştır.Yani petya çalıştırılsa bile dosyaları şifrelemesi için bilgisayarı yeniden başlatması gerekmektedir.
Önleme İpucu # 2: Bazı Windows sistemleri çökerse otomatik olarak yeniden başlatılacak şekilde yapılandırılmıştır. Bu özelliği Windows’ta devre dışı bırakabilirsiniz. Dosyalarınızın şifrelenmesini bu şekilde önliyebilirsiniz, verilerinizi bu sekilde yerel diskinizden kurtarabilirsiniz. Bunun nasıl yapılacağını öğrenmek için buraya tıklayın.
Sahte Disk kontrolu tamamlandıktan sonra, kullanıcı bir miktar para ödeyerek verilerini kurtarma hakkında bilgi veren bir sayfa ile karşılaşir artık her şey için çok geç.
Yukarıda listelenen önleme ipuçlarına ek olarak, aşağıda böyle bir saldırıdan korunmanıza yardımcı olacak ve etkinin en aza indirebilecegınız bazı önerilerden bahsedeyim….
ŞİRKETLER İÇİN ÖNERİLER
1# SMB güvenlik açığını düzelten MS17-010′ da dahil olmak üzere en yeni Microsoft güvenlik yamalarını yapın.
2# Kötü amaçlı yazılımların yayılmasını önlemek için SMBv1’i devre dışı bırakmayı düşünün.
3# Ekleri açarken ya da bilinmeyen maillerden gelen bağlantıları tıklarken personellerinizin dikkatli olması konusunda uyarıda bulunun.
4# Virüsten koruma yazılımı için en son güncelleştirmeleri yüklediğinizden emin olun, satıcılar örneklerin analiz edilmesiyle bu açıkları gidermek için güncelleştirmeleri yayımlıyor.
5# Dosyalarınızın harici disklerde kopyalarının olduğundan emin olun.
6# Saldırı meydana geldiğinde veri kaybını önlemek için personellerin ağdaki sabit diske belirlenmiş alanların dışına veri yazmasını engelleyin
7# Personellerinizde en az ayrıcalıklı bir yetki modeli kullanın. Yerel yönetim erişimine sahip kişilerin sayısını azaltın.
EV KULLANICILARI İÇİN ÖNERİLER
1# Otomatik güncelleştirmelerin etkinleştirildiğinden ve en son güvenlik yamalarının uygulandığından emin olun.
2# Antivirus yazılımınızı en son sürüme güncelleyin ve virüs veri tabanını güncelleyin.
3# Kullanıcı Erişim Kontrolü’nü etkinleştirdiğinizden ve yönetimsel ayrıcalıkları olan bir kullanıcı değil standart bir kullanıcı olarak çalıştıgınızdan emin olun.
4# Ev kullanıcısı olarak, DropBox, Google Drive ve Microsoft OneDrive gibi bir bulut yedekleme veya çevrimiçi depolama sağlayıcısı kullanmayı düşünün.
5# Petya dosyaların kendisini şifrelemez; Tüm dosyaları bir sabit disk sürücüsünde depolandığı bir dizin olan Dosya Tablosu’nu şifreler. Dizin olmadan, dosyaların diskte nerede olduğunu belirlemek inanılmaz derecede zorlaşır.
