Mayıs ayında tarihin en büyük fidye yazılımı saldırılarından biri olan WannaCry'ın gerçekleşmesinin ardından dünya, yeni ve büyük bir siber saldırı ile karşı karşıya kaldı.
ESET güvenlik araştırmacılarının yaptığı incelemelere göre, bu yeni saldırının başlangıç noktası Ukrayna. Finans, enerji, lojistik ve diğer birçok sektör bu saldırıdan etkilenmiş görünüyor. Petya'nın bir türevi olan bu yeni fidye yazılımı, bilgisayarlarda MBR ünitesine bulaşmayı başarırsa tüm disk sürücüsünü şifreliyor; bunu başaramazsa tüm dosyaları şifreliyor.
En çok etkilenen ülke Ukrayna olurken, onu Rusya, İtalya, İsrail, Romanya, ABD, Litvanya, Macaristan ve Polonya takip ediyor.
Ukrayna'da yaygın olarak kullanılan bir muhasebe yazılımının web sitesinden güncelleme şeklinde yayıldığı tespit edilen bu yeni zararlı yazılım, Mayıs ayında ortaya çıkan WannaCry gibi EternalBlue açığını kullanıyor. Ayrıca, ağ içerisinde yönetici yetkisine sahip bir kullanıcının sisteme dahil olduğu bilgisayardan kullanıcı bilgilerini çalıp, ağda açık olmayan bilgisayarlara da bulaşabiliyor.
ESET Güvenlik Araştırmacısı Robert Lipovsky, Petya’nın diğer zararlı yazılımlardan farklı olarak tek tek dosyaları şifrelemek yerine, dosya sistemini ele geçirmeye çalıştığını belirtti. Zararlı yazılım, sistem açılışından hemen sonra işletim sisteminin yüklenmesinden sorumlu olan ana önyükleme kaydını (MBR) hedef alıyor. Zararlı yazılım bulaştıktan sonra, diskin MBR'sini şifreleyip 30-45 dakika içinde bilgisayarı yeniden başlatıyor. Bilgisayar yeniden başlatılırken sahte bir chkdsk mesajı görüntüleniyor. Bu aşamada bilgisayar kapatılırsa, tüm diskin şifrelenmesi engellenebiliyor. Ayrıca zararlının, MBR ve diski şifreleyen bileşeni dışında, normal kullanıcı dosyalarını şifreleyen bir bileşeni daha bulunuyor.
Siber suçlular, bilgisayardaki verileri çözmek için 300 USD karşılığında bitcoin talep ediyor. Ancak verilen e-posta adresi kapatıldığı için, ödeme yapanların şifreleri alma şansı artık yok. Bu nedenle, fidye ödemesi yapmak mantıksız hale geliyor.
Araştırmacılar, C Windows dizini altında 'perfc' adlı bir dosya oluşturup sadece okunabilir hale getirmenin zararlı yazılıma karşı koruma sağlayabileceğini tespit etti.
ESET Güvenlik Araştırmacısı Robert Lipovsky, 'Bu tür bir tehdidi önlemek için, sistemlerinizi tam olarak güncelleyiniz, uygun bir güvenlik çözümü kullanınız ve ağ segmentasyonu kurunuz. Bu şekilde, ağda yayılmasını önlemeye yardımcı olabilirsiniz' dedi.
Öneriler: Güncel ve proaktif bir güvenlik yazılımı kullanın.
Sistem yamalarını düzenli olarak güncelleyin.
Bilgisayarı kapatıp yeniden başlatmak, disk şifrelemesini önleyebilir.
Tanımadığınız kişilerden gelen e-postalardaki ekleri açmayın. Bilinen birinden gelen beklenmedik eklere karşı da dikkatli olun.
Sık sık farklı kişilerden e-posta alan iş arkadaşlarınızı uyarın; özellikle muhasebe ve insan kaynakları departmanlarını.
Verilerinizi düzenli olarak yedekleyin ve yedeklerinizi bilgisayarlara bağlı durumda bırakmayın.
Windows Update üzerinden güvenlik yamalarını uyguladıktan sonra yeni bir yedek alın.
ESET ürününüzde ESET Live Grid özelliğinin aktif olduğundan emin olun.
ESET ürününüzün ve Virüs İmza Veritabanı Sürümünün en güncel sürümde olduğundan emin olun.
