28 Haziran 2017 Çarşamba

Petya virüsü nedir nasıl bulaşır?

Petya nasil bulaşır, nasıl silinir? Petya neden Bulgarca?

Petya virüsünün anlamı nedir?


Sevgili İstanbullular bir hayal edin. Sabah kalkıyorsunuz metro çalışmıyor! Elektrikler yok! Bankalar çalışmıyor! Bankamatikler para vermiyor! Kredi kartları çalışmıyor! Hayat ne zor olur değil mi? Bu felaketi Ukrayna yaşadı! Teknoloji nimetleri kadar külfetleri ile de hızla ilerliyor. Siber saldırganların icraatları hız kesmeden devam ediyor. Bilgi güvenliğini hedef alan Petya dünyanın yeni kâbusu oldu. Bu Petya virüsü kâbusu Ukrayna ve Rusya’da gerçek oldu! Petya bir kadın ismi ve Bulgarca! Baba Vanga Apokalipsis için Petya'yı seçmiş olabilir mi? 


Baba Vanga ve The Shadow Brooker


Bence kamuoyu Petya virüsünün ismine takılmadı ama ben bunu önemli buluyorum! Dünya finansal bir hercümerce bir Apokalipsis'e hazırlanıyor! Dünyanın en tehlikeli virüsüne neden Bulgarca bir isim seçildi? Hristiyan inancına göre Apokalipsis kelimesi Apokalipto kelimesinden gelir anlamı  örtüyü perdeyi kaldırmak demektir! Bulgar Kahin Baba Vanga yani Vanga Nene ile Petya virüsü arasında bağ kurmamız gerekir derim ben! İddialar odur ki bu virüsün yaratıcısı ya da yaratıcılarına Shadows Brooker deniyor? Neden Shadows Brooker? Finansal perdelerin arkasındaki kirli ilişkileri görmeye hazır mısınız!


WannaCry siber saldırısından tırsarken daha tehlikelisi geldi. Dünya çapında yayılma tehlikesi olan bu fidye yazılımı 27 Haziran 2017 tarihinde başladı.Virüs aslında metamorfoz geçirdi. ABD'nin National Security Agency yani NSA dediğimiz kurumundan Fuzzbunch adlı exploit takımı çalındı. Exploit içerisinde bulunan kodlar Windows işletim sistemlerindeki SMB servisinin zafiyetini kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlıyordu. Siber saldıtganlar Petya için bunu kullandılar. Bilgi güvenliği şirketleri bu kötücül yazılımı GoldenEye fidye yazılım ailesine benzetti. Güvenlik şirketleri Petya virüsünün yazılımın yayılma vektörüyle ilgili araştırma yapmaya devam ediyor. Henüz çözebilmiş değiller! Petya virüsünün solucan bileşenleri vasıtasıyla dünyada hızla yayılacağını öngörüyor. Saldırıdan en çok etkilenen ülkeler Ukrayna, Rusya, İtalya, İsrail, Romanya, ABD, Polonya, Litvanya ve Macaristan. Türkiye’den henüz ses yok! Aman diyeyim!

Petya virüsü nedir?


Petya diğer bir deyişle Win32/Diskcoder.Petya.C. Petya solucanı ağırlıklı Windows SMB (v1) protokolünü kullanarak yayılmaktadır. NSA tarafından bu açıklığı barındıran sistemlere sızmak için kullanılıyordu. Cryptolocker gibi virüs olan  Petya virüsü  de fidye istiyor, para istiyor yani Bitcoin istiyor! Amma velakin Petya verisü diğer fidye virüslerinden çok farklı! Neden? Eskiden fidye virüsleri bilgisayarlardaki bazı dosyaları şifreliyor ama siz çatır çatır çalışıyordunuz! Petya ise işletim sisteminizi göçertiyor! Petya harddiskinizin Master Boot Record’unu şifreleyerek bilgisayara erişimi engelliyor! ISR’den bir arkadaşla görüştüm Petya mail trafiğinin oldukça fazla olmasından dolayı şirketlerin insan kaynakları departmanını hedefliyormuş! Petya virüsü bulut depolama servisi olan Dropbox linklerine sahipmiş. CV ve fotoğrafın yer aldığı mail ekinin indirilmesi ile sisteme bulaşıp ocağınıza incir ağacı diken en tehlikeli ransomware’lerden birisi oluvermiş bulunuyor! Bukalemon gibi olan bu virüs önümüzdeki aylarda faklı sürprizlerle dünyayı şaşırtmaya devam edecek gibi duruyor!

Ataların deyişi ile "Eski ağza yeni taam" Petya virüsü!



Petya virüsü: Aslında bu virüs eskilerin ağzı ile” eski ağza yeni taam” kabilinden bir virüs! Petya virüsü2006 yılında ortaya çıkan bir virüs eski virüse yeni yöntem. WannaCry kodu da içeren virüs, Shahow Brokers ABD istihbarat örgütünün dünyadaki bilgisayarlara sızmak için yazdığı kodları çaldı. Yani koskoca NSA’in kodlarını çalındı. Büyük şirketlere çaldığı bilgileri satmaya satmaya çalıştı. Microsoft’un açıklarını kullanıyor. Software Supply Microsoft bağlantı noktasındaki hatalardan içeri giren siber saldırganlar. Microsoft Mart ayında bu siber saldıganların bulduğu açığın yamasını kapattı. Arkadaşlar Blogger Bolat insanı bu virüsün finansal bir amacı olmadığını aksine amacın siber sabotaj olduğunu düşünür. Adı fidye yazılımı olsa da amacı yeryüzünde kaos yaratmaktır! Verileri tamamen silmektir. Amacı Apokalipsistir!

Petya MBR Master Boot Record'unuzu siler!



ABD gizli NSA’in insanların mahremine burun sokup bilgi çalmak amacıyla kullandığı yazılım kodlarından geliştirilen bu virüs ramsomware yazılımıdır ve bu adi virüs sadece bazı dosyaları şifrelemez bilgisayarınızdaki tüm dosyaları siler. Peki Petya bunu nasıl yapar? Bilgisayarınızın konum ve boyut bilgilerinin depolandığı MBR dediğimiz yani Master Boot Record kayıt dosyalarını şifreleyerek ocağınıza incir ağacı diker! Master Boot Record’u şifrelettiğinizde bilgisayarınızdaki tüm bilgiler mevta olur adamların insafına kalırsınız, kısaca verileriniz uçar gider! Fidye öderim kurtulurum diyenler avuçlarını yalar fidye verseniz de bu dosyalarınıza ulaşamayacaksınız çünkü ama siber sabotajdır fidye değil! Hackerların insafına kalmamak için bir an önce önlemlerinizi alın derim!

Petya İle ilgili hangi önlemleri alabilirsiniz?


Petya incelendiğinde aslında şunu görüyorsunuz bu virüs kişileri değil kurumları hedefliyor. İstedikleri 300 ile 500 dalar arasındaki paralar sadece amacı kamufle etmek için Petya’nın amacı bana göre siber sabotaj. Üretim ve hizmetin yoğun olduğu kurum ve sektörleri hedef alarak üretimi ve hizmeti felç etmeye çalışıyor. Bu virüsün arkasında bir devletin olmadığını düşünmek saflık olur. Efenim neymiş devlet adına çalışan gruplara harçlık kesilince bunlar da böyle siber eşkıyalığa başlamış! Bu doğru değil bu virüsü terörü finanse eder gibi bazı ülkeler tarafından destekleniyor olmalı. Aksi durum mümkün değil çünkü Bitcoin ile para talep edidyorlar bunun bulunmaması mümkün değil!

Petya’yı engellemek için alınacak önlemler neler olabilir?


Öncelikle iç ağı, paylaşımları kontrol altına alın. Çalışanlarınızı şüpheli sitelere girmemeleri ve şüpheli mailleri açmamaları konusunda her gün 2 defa uyarın! İç ağdaki paylaşım kontrol altına alın! Dosya sistemlerindeki parolalara dikkat edin! Microsof açıklarından faydalanan bu Petya virüsü için Microsoft 17-010 güncellenmesi mutlaka yapın! Bu yama Ms 17-010 olarak da görülebilir. SMBv1’i devre dışı bırakıp, UDP port 137 ve 138, TCP port 139 ve 445 numaralı bağlantı noktalarına dışarıdan erişimi engelleyin.  Dosyaların yazma ve çalıştırma özelliklerini kısıtlayın yani dosya sadece okunabilsin o zaman virüs kendini kopyalayamaz. O zaman nasıl çalışacağız? O da doğru!

Petya USB ile bulaşabilir mi? 


Bu o karakterde bir virüs değil ama elbette virüslü bir makinadan Petya kodu alırsa bulaşabilir. Petya virüsü para istiyor ama bence amaçları para değil hedeflerine çoktan ulaştılar, Ukrayna ve Rusya gibi ülkeleri felç ettiler! Amaçları siber sabotajdı amaçlarına ulaştılar! Petya virüsünün bazı browserlar üzerinden de bulaştığı biliniyor aman diyeyim bildiklerinizden şaşamayın! Ben bu virüsün kişileri değil kurumları etkilemek amacıyla üretildiğini düşünüyorum.

Petya virüsünden korunmak için, şüpheli internet sitelerine girmeyin, açılır pencereleri engelleyin, adblock bir çare olabilir. Şüpheli mailleri sakın panik yapıp açmayın. Özellikle linki virüslere dikkat!

Siber terörizme uluslararası önlem gerekiyor!


Böyle giderse dünya daha güvensiz olacak. Terörizm şekil değiştiriyor. Ülkeler artık PKK, PYD gibi terör örgütlerine yardım etmek yerine daha sofistike çalışan bu siber saldırganlara yatırım yapıyor! Şöyle düşünün hava alanına gitmek için evden çıkıyorsunuz metro çalışmıyor! Taksi ile hava alanına geliyorsunuz hava alanında uçuşlar iptal. Kafede oturuyorsunuz kahve içiyorsunuz kredi kartı çalışmıyor. Bankamatiğe gidiyorsunuz bankamatik çalışmıyor! Sinirden kaldırımları tekmeliyorsunuz! Ulen Patya, ülen Petya diyerek sinkaflı küfürler savuruyorsunuz!

Shadow Brookers kimdir? Neden Shadow Brookers


Petya virüsünün yakşalık 1.000.000 bilgisayarı etkiliyor! Çığ gibi büyümeye de devam edecek. Bulgar Kahin Baba Vanga’nın Apokalipsisi Petya virüsü bunun yazalım bir yere! Petya’nın hedefindekiler Petya'nın amacı da ele veriyor! Virüs üretim şirketleri, taşımacılık şirketleri, bankaları hedef alıyor. NSA'den kodları çalanların iddia odur ki adları Shadow Brookers bence de bu fake bir bilgi! Bu Shadows Brooker adlı kişi ya da kişiler bu kodları NSA’den çaldıktan sonra peyder pey satıp, saldırganlardan bu virüsü alanlar açık hedefleri de belirlemiş oluyorlar. WannCry ile Petya virüsü aralarında bir ilişki var mı? Petya’nın kodunda WannaCry’daki kodlara rastlandı. NSA’den kodu çalanlar, bu kodları çaıldıktan sonra zaman zaman bu saldırıları yapacak. Önümüzdeki yıllarda bu kodları siber saldırı için kullanacaklar. Nasıl oldu da 2006 yılındaki Petya virüsü metamorfoza uğradı? NSA bunu kendi istemiş olabilir mi? Her şey olabilir!

Siber terörizme karşı insanlık ortak mücadele etmelidir!


Siber saldırılardan para kazıldığı sürece, fidye istemek bu kadar matah bir şey miş gibi övüldüğü sürece siber saldırılar devam edecek! Özellikle 2019 Genel Seçimlerine doğru giderken, siber saldırıların mahiyeti değişebilir! FETÖ’nün daha önce yaptığı gibi kişilerin ve kurumların itibarını zedelemek için siber kullanıldığını görüyoruz. Siber saldırılardan para kazanıldığı sürece dünyamız daha tehlikeli hale gelecek bu konudaki regülasyonlar derhal geliştirilmeli ve uluslararası önlemler alınmalıdır. Siber saldırganların fidye isteme ile bir kişinin kaçırılıp fidye istenmesi arasında fark olmamalıdır. Bu fark olduğu sürece başımız dertten kurtulmayacak! Siber saldırı bir terörizm faaliyetidir. Özellikle siyasette ve kamu da kişileri, kurumları kötü duruma düşürmek için itibar suikastlarına karşı dikkatli olmalıyız. Bence, devletler bu siber saldırılara müsamaha gösterdiği sürece işimiz zor, devletler de bu oyunun içinde! 2016 yılındaki 1tb’lik IOT saldırılarını düşünün, hackerlar bu sofistike saldırıda nesnelerin internetini kullanarak modemler, printerlar üzerinden Türkiye’de hayatı durdurmuşlardı!

Petya Virüsü nasıl yayılır?


Petya virüsü Microsof açıklıklarını kullanıyor. Yamaları yapın. Solucanlar aracılığı ile yayılacak! Petya genelde sosyal mühendislik yöntemleri ile yayılan bir virüs yemleme, oltalama dediğimiz olaya gelmeyin yani mail ile gelen linklere dikkat! Dikatinizi dağıtmak için aklınıza gelmeyecek e-posta ayarlayabilirler aman dikkat! Buradaki linklere, dosyalara tıklarsanız sabit diskinize elveda dersiniz! Diyelim ki boş bulundunuz ve size gelen virüslü linke tıkladınız ne olacak! Bilgileriniz bye bye diyeceksiniz eğer yedeklerde sorun olursa o kurum yandı! Tabi kurumla birlikte sizin iş sözleşmesini de gözden geçirirler demiş olayım! Nereden geldiği belli olamayan e-postaları açmayınız. Bilgisayarlarınızın yedeklerini alınız! Güncel ve lisanslı anti virüs yazılımı kullanın! Anti virüs  programlarınıza e-postalarınızı da okutunuz! Öyle, böyle internet sitelerine girmeyin bu sitelerin ne olduğunu siz anladınız!

Kurumlar Petya Virüsünü Nasıl Önleyebilir?


İyi bir firewall yani güvenlik duvarı, iyi bir anti virüs ve sanbox çözümü ile maksimum önlemi alabilirsiniz! Verileri yedeklemek şart! Yedeklerin açlıştığından emin olmak da öyle! Kötü amaçlı yazılımlar, siber saldırganlar önce Windows açıklarını biliyor yamalara dikkat! E-postalar, web içerikleri, mobil uygulamalar, sosyal medya uygulamaları kötü amaçlı yazılımların hedefinde. Kurumların bir an önce bilgi güvenliği yönetim sistemlerini kurmaları gerekir. Biz ona BGYS diyoruz. Üstüne bir ISO 27001 ve penetrasyon testini de yaptırdınız mı tedbirleri üst seviyeye çıkarmış olursunuz! Siber güvenlik bir bilinç işidir, zafiyetlerin çoğu insan kaynaklıdır. Petya virüsüne tıkalayacak olan sonuçta bir insandır. Öyle ise çalışanların bilgi güvenliği ile ilgili eğitim alması gerekir. Buna bilinçlendirme eğitimi de diyebiliriz. Bilgi güvenliğini sağlamak için başta paratoner, topraklama, data hatları, ups, jeneraör gibi altyapı hizmetlerine de önem vermek gerekir onu da söylemeden blog yazımızı bitirmeyelim dedim. Kurumların IT yöneticileri siber güvenlik konusunda daha hassas olmalıdır. IT departmanları APT güvenlik sistemleri tarafından kullanılan geleneksel savunma ve sandbox teknolojilerini sürekli takip etmeliler. Bilgi Güvenliği Yönetim Sistemi kontrollleri ciddiye alınmalıdır. Yoksa başımız malwarelerle dertte!

Petya virüsü ile The Shadow Brookers ne kadar fidye almış olabilir? Aslında bunu doğrudan şöyle açıklamak daha doğru bu adamların gelir elde etme gibi bir amaçları yok bence! Amaçları kaos yaratmaktı ki yaptılar. Bazı güvenlik uzmanları fidye için verilen mail adreslerinin kapatılmasını büyük bir önlem gibi görse de bence amaç fidye almak değildir. Finansal kaosu yarattılar ve amaçlarına ulaştılar! Burada bir parantez de Microsoft için açmak lazım! Artık siber saldırganların yol geçen hanı gibi kullandıkları bu şirketin kendine çeki düzen vermesi gerekmez mi? 

Türkiye Avrupa Birliği siber yönergelerine doğru çalışmalarını hızlandırmalı. Europol ile siber güvenlik birimlerimiz daha çok işbirliği yapmalıdır. Siber terörizmle mücadelede ortaklık ve anlayış birliği şart. “Off Blogger Bolat ne uzun yazı!” Exploit dedin de nedir bu exploit açıklamamışsın. Efem, exploit bir suistimal aracıdır. Kötüye kullanılacak bir kod parçasıdır veya scripttir. Kısaca şöyle düşünün bir bilgisayar programında bulunan açık ve bu açıkların kötüye kullanımıdır.

E, ama Petya virüsü tehlikeli değil mi?

Hadi o zaman bu yazımızı paylaşalım ki insanlar bilinçlensin!

Dur Bolat ben daha WannaCry’dayım dersen şu kaynaktan daha çok bilgi bulabilirsin. WannaCry virüsü nedir?