Önem ölçekli:  
  (99/100)

Petya fidye virüsü. Nasıl temizlenir? (Kaldırma kılavuzu)

Lucia Danes ile - -   PetrWrap | Fidye Yazılım Yaz

Petya'nın geliştiricileri geri döndü: Bad Rabbit fidye virüsü 2017 yılının Ekim ayında ortaya çıktı

The latest Peya ransom notePetya fidye yazılımı 2016 yılında yayılmaya başlamış bir virüstür. Fakat bu sene birkaç kez güncellendi ve son versiyonu Ekim 2017 de ortaya Diskcoder.D veya Bad Rabbit fidye virüsü  adı ile çıktı. Güncel raporlara göre, yazılımın son versiyonu Ukrayna ve Rus merkezli şirketleri hedef almakta.

PetrWrap, GoldenEye fidye yazılımı, Mamba virüsü ve Mischa fidye yazılımı olarak da bilinen, Petya virüsünün ortaya çıkışı WannaCry ile benzerlik göstermektedir – Birden bire ortaya çıkıp durmaksızın yayılmaya başlamış. Bazı anti-virüs araçları ise NotPetya ve Nyetya fidye yazılımı olarak tanımlamakta.

Fidye yazılımı çoktan bir kaç banka, enerji şirketi ve “Rosneft”, “Maersk“, “Saint – Gobain” gibi bazı şirketleri etkilemiş durumda. Ukraynalı yazılım şirketi olan MeDoc virüsü yaymakla suçlanmakta Şirket ilgili suçlamaları reddetse de, bazı IT uzmanlarına göre virüsün ana kaynağı firmanın olduğuna dair ipuçları bulunmakta.

Petya virus

Bad Rabbit kötücül yazılımının kısa incelemesi

Güncel raporlara göre Petya fidye yazılımının en güncel versiyonu 24 Ekim tarihinde Kiev Metrosu ve Odessa Uluslararası Hava alanına saldırmış. Saldırılarının çoğunluğu Rusya (66%) ve Ukrayna(12.2%) sınırları içinde olsa da Türkiye, Bulgaristan ve Japonya gibi ülkeler de bu fidye yazılımından etkilenmektedir.

Kötücül yazılım virüslü sitelereki sahte Flash güncellemeleri ile yayılmakta. The Bad Rabbit virüsü Win32/Filecoder.D klasörüne kurulan install_flash_player.exe dosyası ile yayılmakta. Ayrıca, kötücül yazılım taramaları Windows Server Mesaj Blocklarında(SMB) iç ağlar tespit etmekte. Aynı sızma taktiği WannaCry tarafından kullanılmıştı ve ne kadar başarılı olduğu konusunda kimsenin şüphesi yok. Fakat, Petya'nın bu versiyonu EthernalBlue açığını kullanmamakta.

DiskCryptor ve RSA-2048 ile AES-128-CBC kombinasyonu kullanarak tüm diski şifreler. Hedeflediği dosyalara .encrypted uzantısını ekler. Sadece kullanıcının hesaplarını şifrelemekle kalmaz aynı zamanda Mimikatz aracı kullanarak kullanıcı ve şifre gibi bilgileri de çalar.

Veri şifreleme işleminden sonra, kötücül yazılım direk ödeme sayfasını da gösteren fidye notunu gösterir. Kurbanlardan deşifre anahtarı için 0.05 Bitcoin istenir. Fidyenin miktarı artana kadar kurbanların 41 saati vardır. Yine de fidyeyi ödemek tavsiye edilmez. Petya virüsünü acilen Reimage veya başka bir kötücül yazılım kaldırma programı ile silmelisiniz.

Petya virus

Petya fidye yazılımı Haziran 2017 tarihinde güncellenmiştir

Haziran 2016 tarihinde, siber suçlular Petya virüsünü güncellediler ve fidyeleri toplamak için wowsmith123456@posteo.net eposta adresini kullanmaya başladılar. Kullanıcının verilerini kurtarabilmesi için $300 karşılığında Bitcoin ödemesi yapılması gerekir. Ukrayna, İngiltere, İspanya, Danimarka, Hollanda, Hindistan ve diğer ülkeler de saldırıyı doğrulamaktadır.

Petya fidye yazılımı, kurbanın dosyalarını tek tek şifrelemez – bu da virüsün son zamanlarda güncellendiğinin açık ispatıdır. Onun yerine sistemi yeniden başlatıp MFT( Master dosya tablosunu) şifreler. The MBR (ana çalıştırma kaydı) çalışmayı durdurur ve istenilen dosyanın adını, boyutunu, lokasyonunu göstermeyi başaramaz.

Sahte bir dosya indirmeniz halinde de virüse maruz kalabilirsiniz bu yüzden, bilinmeyen epostaları açarken çok dikkatli olmalısınız. Fakat The Hacker News sitesinin haberine göre virüs Windows için WannaCry ile aynı SMBv1 açığını kullanmakta. Kendinizi korumak için Reimage programını yükleyip, Petya kötücül yazılımına ait dosyaları kaldırdığınızdan emin olmalısınız. 

GÜNCELLEME: IT uzmanı Lawrence Abrams'a göre Petya korsanından uzak durmanın bir yolu bulunmakta – internet kullanıcıları perfc adlı bir dosya yaratıp C:Windows klasörüne yerleştirmeli. Görünüşe göre fidye yazılımı bu dosyayı sistemde görürse kendi kendini silmekte.

GÜNCELLEME Temmuz 2017: Uzun bir aradan sonra, kötücül yazılım analistleri Petya virüsü için bir şifre anahtarı çıkartılar ve Petya virüsünün şifrelediği dosyaları deşifre edebildiğini idda ettiler. Petya Deşifre anahtarı iki farklı basit formda gelmekte: bir CD versiyonu ve bir de yürütülebilir Windows dosyası şeklinde. Bu yöntemin bireysel deşifre anahtarı olarak değil de petya virüsü sistemden silindikten sonra dosyaları geri getirme amacı ile tasarlandığını unutmayınız Mischa ve GoldenEye deşifre anahtarları da buna dahildir.  Bu aracın kullanımına dair daha detaylı açıklamalar makalemizde paylaşılmıştır. 

Petya virus

Ne yazık ki, deşifre anahtarı Petya hibrid versiyonu olan PetyaWrap ve EternalPetya karşısında hala başarısızdır. 

Petya virüsünün karakteristik özellikleri ve davranışları

Sanal topluluklar hızlı bir çözüm ile bu kötülüğü hızlıca sona erdirme yöntemlerini arasalar da, IT uzamnları bu kötücül yazılıma karşı bakışımızı değiştirebilecek garip detaylar açıkladılar. Petya virüsünün orjinal versiyonu ortaya çıktığı zaman içerisinde bir adet “diski yoket” özelliği barındırmakta idi. Başka bir deyişle, dosyaları şifrelese bile denetim masası ile sağlıklı bir iletişim kuramayp kurbanın numarasını merkeze iletemiyordu.

Aynı ExPetr/NotPetya/Petna/Petya virüsleri gibi ID prosesinde sorun yaşamaktadır. Dahası, suçlularla ilişiği olan bir adres daha kapatılmıştır. Kısaca, kurbanın sistemindeki veri kurtarma belirli bir kod olmadan imkansız hale gelmektedir. 

Kötücül yazılım belirli bir anahtar yerine rastgele numaralar ve karakterler yaratmaktadır. Başka bir deyişle, IT uzmanları bu kötücül yazılıma veri silici derler, teknik olarak verilerin geri kurtarılmasını imkansız hale getirir. Son olarak, verilen zararın ölçüsüne göre uzmanlar Petya tehditinin SMB ve yerel ağları hedef almak için PSExec, WMI, ve Eternal Blue açıklarının bir karışımını kullandığını belirtmekte. Bu yüzden, ödeme yapmaktan kaçınıldığı taktirde verileri geri kazanmanın başka yolu bulunmamakta. 

Petya Saldırılarının Listesi

İsim

Petya

Kategori

Fidye yazılımı

 

 

Kurbanlar

 

M.E.Doc serverları

Saldırı ilk olarak Ukrayna'da ortaya çıkmıştır. Popüler bir muhasebe yazılım paketi olan M.E.Doc programının güncellemesi şeklinde 18 Haziran(veya daha önce) ortaya çıkmıştır.   

Ukrayna Merkez Bankası 

Daha sonra merkez bankası “geniş çaplı siber saldırı” uyarısında bulundu. Finans kurumlarının ekstra dikkatli olması gerektiği konusunda uyarılarda bulundu.

Oshchadbank 

Bir saat sonra, Oshchadbank fidye virüsü yüzünden kullanıcıları için hizmet kısıtlamasına gittiğini duyurdu.

Ukrayna Bakanlar Kurulu

Ukrayna Bakanlar Kurulu üyeleri bilgisayarlarının Petya fidye virüsü ile kontrol altına alındığına dair tweet atmaya başladılar.

Maersk

Ardından, Hollanda ve Danimarka'nın konteynır taşımacılık devi olan Maersk şirketine sızdı.  Şirket tüm konteynır operasyonlarını durdurdu.

Rosneft

Aynı gün Rus petrol devi Rosneft saldırıyı onayladı.

DLA Piper

DLA Piper, uluslararası hukuk firması olarak bu fidye virüsüne maruz kaldıklarını bildirdi. Şirket sunucularını kapattı.

Mondelez

Mondelez ofisleri fidye yazılımının saldırısına uğradıklarını 27 Haziran tarihinde duyurdu. Saldırı suncularını kullanım dışı bırakmıştı.

WPP

İngiltere'de bulunan popüler pazarlama şirketi WPP, olası bir fidye yazılımı olduğunu bildirdi ve bu da elbette Petya fidye virüsü idi.

Kiev Metro

Kiev Metro 24 Ekim tarihinde Bad Rabbit saldırısına uğradığını bildirdi

Odessa Uluslararası Havaalanı

Odessa Uluslar Arası Hava Alanı aynı gün fidye yazılımı saldırısına uğradığını bildirdi.

Ne yazık ki, fidye yazılımının kurbanları her geçen gün artmakta. Hepsi Petya ile ilgili şikayette bulunmasada birkaç bin şirketin bu saldırıdan etkilendiği düşünülmekte.

Fidye yazlımının Fonskiyonelliği

Daha önce de bahsettiğimiz gibi diğer fidye yazılımlarının aksine bu kötücül yazılım hemen sistemi tekrar başlatır. Sistem yeniden başladığında ise ekranda şu mesaj görülür:

DO NOT TURN OFF YOUR PC!
IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA!
PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

İlk ortaya çıktığında sistem hatası gibi gözükse de aslında Petya virüsü sessizce arka planda dosyaları şifreleme işlemini gerçekleştirmektedir. Şifreleme işlemi devam ederken kullanıcı sistemi yeniden başlatmaya kalkarsa kırmızı ışıklarla yanıp sönen bir iskelet çıkıp “BİR TUŞA BASIN” göstermekte ve tuşa basmakla birlikte ekranda fidye notu belirmekte.

İlk başta kullanıcıdan yaklaşık 0.9 BTC fidye istenmekte bu da bugün yaklaşık $400 etmekte. Şimdi bu miktar yaklaşık $300 değerinde olmakta bu yüzden farklı şirketler farklı ücretler ödeyebilirler. 

Petya fidye yazılımı oldukça kompleks olup askeri işlemler için bile kullanılan RSA-4096 ve AES-256 algoritmaları ile şifreleme işlemini gerçekleştirir. Böyle bir kodu ilgili şifreler olmadan kurmak imkansıza yakındır. Elbette, aynı diğer Locky virüsü, CryptoWall virüsü, ve CryptoLocker gibi programlarda olduğu gibi özel deşifre anahtarı uzak bir sunucada tutulmaka ve sadece fidye yazılımının yaratıcılarına ilgili mebla ödendikten sonra erişilebilmekte.

Petya virus

Fidye yazılımı dosyaları şifrelemekten çok daha fazla sorunlara yol açmakta

Virüs sisteme girdikten sonra, ana kayıt da denilen sisteminizi baştan başlatmaya yarayan windows kayıt dosyaların baştan yazmaya çalışır . MBR ayarlarını düzeltmediğiniz sürece Petya virüsünü sisteminizden kaldıramazsınız.

Bu ayarları değiştirip virüsü sisteminizden başarı ile silseniz bile virüs sisteminizde kalmaya devam edecektir çünkü virüsü kaldırma işlemi şifreli dosyalarınıza kavuşmanızı sağlamaz. Elbette bu prosedür bilgisayarınızı kullanmak istiyorsanız kesinlikle şarttır. Petya virüsünü kaldırma işlemi için oldukça sofistike ve güçlü olan Reimage  gibi bir antivirüs aracı kullanmanızı tavsiye etmekteyiz.

Güvenlik uzmanları dosyalarınızı geri kurtamanıza yardım edebilecek özel algoritmalı fidye virüsü deşifre anahtarı yayınladılar. Bu algoritmayı kullanabilmek için bu websitesini ziyaret etmeniz gerekmektedir.

Fakat Petya virüsü sisteminizdeki dosyaları tekrar şifrelemeden önce sistemden kaldırılmalıdır. Sistemden kaldırma konusunda sorunlar yaşıyorsanız bu makalenin altındaki detaylı incelemeye göz atabilirsiniz.

Petya virus

Petya'nın Versiyonları

Bu fidye yazılımı internetteki varlığın 2016 yılından beri genişletmekte – Petya geliştiricileri çoktan şu versiyonları yayınladılar bile:

Mischa fidye yazılımı ilk olarak 2016 yılında tespit edildi. Janus Siber Suç Çözümleri kampayasının bir parçası olup hacker olmak isteyenlere Petya ile ortak çalışma şansı veren bir virüstü. Elbete bu virüs ağına katılmak için belirli bir kayıt ücreti vermeniz gerekmekteydi.

Fidyenin boyutuna göre internette bu virüsün yayılmasına katkıda bulunan kullanıcılar elde edilen gelirin 85% sahip olmaktadır. Böyle bir şirketle ortak çalışmayı düşünüyorsanız bu şirketin hiçbi ahlaki değere sahip olmadığını ve ilk fırsatta sizi de harcayacağını unutmamalısınız.

Petrwrap fidye yazılımı  Janus Cybercrime Solutions kampanyasına ait olmayan ama ortak çalışan bir fidye yazılımı olarak kabul edilir. Petya'nın ECDH algoritmasını ağlarda kullanan farklı bir virüsdür ve kullanıcılara RaaS sistemi dışında özel ve genel anahtarlar yaratmalarına imkan verir.

Fidye yazılımı hedef bilgisayarlara sızıp virüsü sistemlere sızdırmak için RDP ağısnı ve PsExec aracını kullanır.

GoldenEye fidye virüsü de Petya virüsüne çok yakındır. Kurbana kayıplarını göstermek için hedef dosyalara belirli uzantılar ekler. Virüs ayrıca Kullanıcı Hesap Kontrolü (UAC) denilen sistemi de petya fidye yazılımını sisteme entegre etmek için es geçer. UAC maksimuma ayarlanırsa kötücül yazılım sistemi ele geçirmeyi devalarca deneyebilir. “Evet” demek sistemde kötücül yazılımı aktif hale getirecektir.

Mamba fidye yazılımı kendisi öncelikle Alman şirketlerini hedef alsa da tüm bilgisayarları hedef alabilen bir bilgisayardır. Bu kötücül program sisteme gizlice girip kötücül işlemlerini sessizce arka planda halleder.

Bu versiyonda, hackerlar Petya’ya Salta20 uygulamasını eklemeyi başardılar. Bu virus daha önceki versiyonlarda olduğu gibi PDF dosyası ile yayılmaktadır. Virüs geliştiricileri bu virüsü yaymak için sahta program güncellemelerini kullanmaktadır.

Bad Rabbit fidye virüsü ayrıca Diskcoder.D. olarak da bilinmektedir. Ekim 2017 tarihinde Rusya ve Ukrayna’daki bazı kurumlara saldırması ile ortaya çıkmıştır. Kötücül yazılım AES ve RSA şifreleme tekniklerini kullanıp etkilediği dosyalara .encrypted uzantısını eklemektedir. Kötücül yazılımların bu sürümü sahte flash güncellemesi ile SMB acığını kullanarak sistemlere girer. Ayrıca dosyaları şifreleyip  sadece 0.05 Bitcoin fidye istemekle kalmaz fakat kimlik bilgilerini de çalar..

Sızıntı teknikleri ve önmele yöntemleri

Petya virüsü genelde spam epostalarla yayılıp Dropbox indirme linki gönderir bu linkte de “application folder-gepackt.exe” dosyası mevcuttur. Virüs söz konusu dosya indirilip açıldıktan sonra aktif hale gelir. Fakat virüsün son versiyonu CVE-2017-0199 Office RTF açığını kullanarak bilgisayara girer.

Bu virüsün nasıl yayıldığını bildiğinize göre ilgili önlemleri de almanız gerekmektedir. Elbette epostaları açarken dikkatli olmalısınız  özellikle de bilinmeyen kaynaklardan geliyorsa .

Ayrıca MS17-010 ve diğer Microsoft güncellemelerini indirdiğinizden emin olun ve SMB açıklarına karşı önleminizi alın. Fidye yazılımlarının bilinen en büyük kaynaklarından birisidir. Son olarak sistminize saygın bir antivirus yazılımı yükleyip güncel tuttuğunuzdan emin olmalısınız.

Dosyalarınızı şifrelenmekten kurtarmak için zaman zaman güncellemeniz gerekmektedir. Bu durumda, önemli verilerinizi bulut, harici disk, usb gibi birkaç ayrı fiziksel yerde saklamalısınız.Petya virus

Petya kaldırma işlemi için talimatlar

Daha önce de bahsettiğimiz gibi, Petya virüsünün bilgisayarınzıdan kaldırılması bilgisayarınızdaki dosyaların geleceği için gereklidir. Ayrıca, harici disklerden veri kurtarma işlemi sadece başar ile virus kaldırıldıktan sorna gerçekleştirilebilir. Aksi taktirde, Petya tekrar dosyalarınızı ele geçirebilir.

Bu kötücül programı sadece bilgisayarınızda basit bir kaldır opsiyonu ile kaldıramazsınız çünkü böyle bir seçenek yoktur. Bu da virüsü otomatik olarak kaldıramayacağın anlamına gelmemektedir.  Otomatik Petya kaldırma işlemi sadece güvenilir antivirus yazılımları tarafından gerçekleştirilmiştir. Bunun için de size, Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus veya Malwarebytes Anti Malware tavsiye etmekteyiz.

Bu virüsü kaldırırken bazı zorluklarla karşılaşıyorsanız veya antivirus programınız blocklanıyorsa, bunun için de detaylı yazımızı inceleyebilirsiniz.

 

Sitemizde önerdiğimiz ürünlerle bağlantılı olabiliriz. Kullanım sözleşmemizde bu belirtilmektedir. Tavsiye ettiğimiz herhangi bir anti-casusyazılım yazılımını Petya fidye virüsü silmek için indirdiğinizde gizlilik politikamızı ve Kullanım sözleşmesi.
Şİmdi yapın!
İndir
Reimage (temizleyici) Mutluluk
Garanti
İndir
Reimage (temizleyici) Mutluluk
Garanti
Microsoft Windows ile uyumludur. OS X ile uyumludur.
Başarılı olunamadığında ne yapmalı?
Reimage kullanarak sorununuzu gideremezseniz, mümkün olduğu kadar çok detay vererek destek ekibimize sorunuzu sorabilirsiniz
Petya fidye virüsü programını kaldırmak için Reimage kullanımı tavsiye edilir. Ücretsiz tarayıcı bilgisayarınızın virüslü olup olmadığını anlamanızı sağlar. Kötü amaçlı yazılım kaldırmanız gerekirse "Reimage kötü yazılım kaldırma aracının tam sürümünü almanız gerekir.
Bu program ile ilgili daha fazla bilgiyi Reimage incelemesinde bulabilirsiniz.
Basında Reimage

Yazar hakkında

Lucia Danes
Lucia Danes - Virüs araştırmacısı

Eğer bu ücretisz kaldırmal yöntemi size yardımcı oldusysa lütfen bu servici sürdürebilmemiz için bize bağış yapın. En ufak miktarda bile minnettat olacağız.

Lucia Danes ile iletişme geç
Esolutions Şirketi hakkında

Kaynak: https://www.2-spyware.com/remove-petya-virus.html

DİĞER DİLLERDE KALDIRMA KILAVUZLARI