"Petya (#petrWrap) Nedir? Nasıl yayılıyor? Önlem almak mümkün mü? Türkiye ve dünyada ne kadar sistem #Petya saldırısından etkilendi? Talep edilen fidye ödendiği durumda dosyalar geri alınabilir mi" gibi merak edilen birçok soruyu İHA muhabirine değerlendiren Siber Güvenlik Uzmanı Ozan Uçar, dünya bazında 1 milyon bilgisayarın risk altında olduğunu ifade ederek Türkiye’de ise bu sayının 15 bin civarında olduğunu ifade etti.
Petya isimli fidye yazılımının geçtiğimiz aylarda dünya genelinde etkisini hissettiren WannaCry’a göre daha tehlikeli ve daha profesyonelce düşünüldüğünü ifade eden Siber Güvenlik Uzmanı Uçar, “Özellikle Rusya ve Ukrayna’da etkili olan Petya, son birkaç gündür tüm dünyayı tehdit etmekte ve büyük zararlara yol açmaktadır. Peki, Petya (#petrWrap) Nedir? Sistemlere nasıl bir zarar verir? ‘TheShadowBrokers’ isimli hacker grubu, geçtiğimiz Nisan ayında National Security Agency’in (NSA) FUZZBUNCH isimli exploit kitini sızdırdı. Sızdırılan bu zafiyet kiti içerisinde birçok exploit bulunmaktaydı. İlgili exploitlerden EternalBlue exploiti yine exploit kiti içerisinde bulunan DOUBLEPULSAR payloadı ile birlikte kullanıldığında Windows işletim sistemlerindeki SMB servisinin zafiyetini kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlamaktadır” dedi.
“Petya’nın Wannacry’dan farkları nelerdir?”
Wannacry zararlısının yayılmasında ilk çıkış noktası olarak SMB servisini etkileyen Windows açıklığının ön plana çıktığını hatırlatan Uçar, “Petya zararlı yazılımında ise birden fazla ilk yayılım vektörü söz konusudur. Petya wormu ağırlıklı Windows SMB (v1) protokolünü kullanarak yayılmaktadır. Windows kullanıcı adı ve parola bilgilerini kullanarak yerel ağlarda yayılabildiği de bir ok güvenlik uzmanı tarafından yapılan analizler sonucu ortaya çıktı” şeklinde konuştu.
“Bu IP adreslerine dikkat!”
Petya zararlısının kullandığı bilinen IP adreslerini de paylaşan Uçar şöyle devam etti:
“Şu ana kadar tespit edilen Petya zararlısının şu ana kadar 185.165.29.78, 84.200.16.242, 111.90.139.247 ve 95.141.115.108 IP adresinden söz konusu saldırı yaptığı tespit edilmiş, Henüz ne kadar sistemin bu zararlı yazılımdan etkilendiği tam olarak bilinemiyor fakat Shodanhq’e göre dünya üzerinde bu zafiyeti barındırma ihtimali olan bilgisayar sayısı 1 milyon bu sayı ülkemizde ise 15 bin civarındadır. Türkiye’de doğrudan bu zararlı yazılımdan etkilenecek sunucu sayısı yaklaşık olarak 2 bin civarındadır.”
“Virüsten etkilenmemek mümkün mü?”
“Bulaştığı tespit edilen sistemin ağ bağlantısı acilen devre dışı bırakılmalı ve ağdan izole edilmelidir” diyen Uçar, “Varsa yedeklerinizden sistemi geri yükleyip, enfekte olmamış eski haline döndürebilirsiniz. Local admin ve sistemde üst seviyede yetkili hesapların parolaları değiştirilmeli. Bilgisayar kullanıcılarına minimum yetki prensibine dayalı haklar tanımlanmalı ve ek olarak bulaşmamış sistemlerde “C:\Windows\perfc” dizininin oluşturulması da wormun etki alanını kısıtlamaktadır” diye konuştu
“Fidye ödememenizi öneriyoruz”
Talep edilen fidye ödendiği halde bile bazı dosyaların yok olabileceğine işaret eden Uçar, “Dosyalarınızı geri almak için tüm iletişim yolları kapalı, bu durumdan dolayı fidye ödememenizi ve danışmanlık firmanıza alternatif öneriler konusunda danışmanızı öneriyoruz. Ayrıca kullanılan Microsoft Windows işletim sistemlerinin güncellemelerini kontrol edip 14 Mart 2017 de yayınlanan MS17-010 kodlu yamanın yüklendiğinden emin olunması gereklidir” ifadelerine yer verdi.
Ayrıca E-posta üzerinden gelebilecek tehditlere karşı SinaraLabs tarafından ücretsiz sunulan ETS hizmetini kullanılmasını öneren Siber Güvenlik Uzmanı Ozan Uçar, “Açık kaynak ya da kurumsal siber tehdit istihbaratı sağlayan yazılımlar kullanarak, kurumunuzu hedef alabilecek siber tehditlere karşı önceden haberdar olabilirsiniz” diye konuştu.
