Önem ölçekli:  
  (99/100)

Petya virüsünü kaldır (Haz 2018 güncellemesi) - Kaldırma Rehberi

Lucia Danes ile - -   PetrWrap | Fidye Yazılım Yaz

Petya'nın geliştiricileri geri döndü: Bad Rabbit fidye virüsü 2017 yılının Ekim ayında ortaya çıktı

Petya fidye notunun en son versiyonuPetya fidye yazılımı 2016 yılında yayılmaya başlamış bir virüstür. Fakat bu sene birkaç kez güncellendi ve son versiyonu Ekim 2017 de ortaya Diskcoder.D veya Bad Rabbit fidye virüsü  adı ile çıktı. Güncel raporlara göre, yazılımın son versiyonu Ukrayna ve Rus merkezli şirketleri hedef almakta.

PetrWrap, GoldenEye fidye yazılımı, Mamba virüsü ve Mischa fidye yazılımı olarak da bilinen, Petya virüsünün ortaya çıkışı WannaCry ile benzerlik göstermektedir – Birden bire ortaya çıkıp durmaksızın yayılmaya başlamış. Bazı anti-virüs araçları ise NotPetya ve Nyetya fidye yazılımı olarak tanımlamakta.

Fidye yazılımı çoktan bir kaç banka, enerji şirketi ve “Rosneft”, “Maersk“, “Saint – Gobain” gibi bazı şirketleri etkilemiş durumda. Ukraynalı yazılım şirketi olan MeDoc virüsü yaymakla suçlanmakta Şirket ilgili suçlamaları reddetse de, bazı IT uzmanlarına göre virüsün ana kaynağı firmanın olduğuna dair ipuçları bulunmakta.

Petya virus

Bad Rabbit kötücül yazılımının kısa incelemesi

Güncel raporlara göre Petya fidye yazılımının en güncel versiyonu 24 Ekim tarihinde Kiev Metrosu ve Odessa Uluslararası Hava alanına saldırmış. Saldırılarının çoğunluğu Rusya (66%) ve Ukrayna(12.2%) sınırları içinde olsa da Türkiye, Bulgaristan ve Japonya gibi ülkeler de bu fidye yazılımından etkilenmektedir.

Kötücül yazılım virüslü sitelereki sahte Flash güncellemeleri ile yayılmakta. The Bad Rabbit virüsü Win32/Filecoder.D klasörüne kurulan install_flash_player.exe dosyası ile yayılmakta. Ayrıca, kötücül yazılım taramaları Windows Server Mesaj Blocklarında(SMB) iç ağlar tespit etmekte. Aynı sızma taktiği WannaCry tarafından kullanılmıştı ve ne kadar başarılı olduğu konusunda kimsenin şüphesi yok. Fakat, Petya'nın bu versiyonu EthernalBlue açığını kullanmamakta.

DiskCryptor ve RSA-2048 ile AES-128-CBC kombinasyonu kullanarak tüm diski şifreler. Hedeflediği dosyalara .encrypted uzantısını ekler. Sadece kullanıcının hesaplarını şifrelemekle kalmaz aynı zamanda Mimikatz aracı kullanarak kullanıcı ve şifre gibi bilgileri de çalar.

Veri şifreleme işleminden sonra, kötücül yazılım direk ödeme sayfasını da gösteren fidye notunu gösterir. Kurbanlardan deşifre anahtarı için 0.05 Bitcoin istenir. Fidyenin miktarı artana kadar kurbanların 41 saati vardır. Yine de fidyeyi ödemek tavsiye edilmez. Petya virüsünü acilen ReimageIntego veya başka bir kötücül yazılım kaldırma programı ile silmelisiniz.

Petya virus

Petya fidye yazılımı Haziran 2017 tarihinde güncellenmiştir

Haziran 2016 tarihinde, siber suçlular Petya virüsünü güncellediler ve fidyeleri toplamak için [email protected] eposta adresini kullanmaya başladılar. Kullanıcının verilerini kurtarabilmesi için $300 karşılığında Bitcoin ödemesi yapılması gerekir. Ukrayna, İngiltere, İspanya, Danimarka, Hollanda, Hindistan ve diğer ülkeler de saldırıyı doğrulamaktadır.

Petya fidye yazılımı, kurbanın dosyalarını tek tek şifrelemez – bu da virüsün son zamanlarda güncellendiğinin açık ispatıdır. Onun yerine sistemi yeniden başlatıp MFT( Master dosya tablosunu) şifreler. The MBR (ana çalıştırma kaydı) çalışmayı durdurur ve istenilen dosyanın adını, boyutunu, lokasyonunu göstermeyi başaramaz.

Sahte bir dosya indirmeniz halinde de virüse maruz kalabilirsiniz bu yüzden, bilinmeyen epostaları açarken çok dikkatli olmalısınız. Fakat The Hacker News sitesinin haberine göre virüs Windows için WannaCry ile aynı SMBv1 açığını kullanmakta. Kendinizi korumak için ReimageIntego programını yükleyip, Petya kötücül yazılımına ait dosyaları kaldırdığınızdan emin olmalısınız. 

GÜNCELLEME: IT uzmanı Lawrence Abrams'a göre Petya korsanından uzak durmanın bir yolu bulunmakta – internet kullanıcıları perfc adlı bir dosya yaratıp C:Windows klasörüne yerleştirmeli. Görünüşe göre fidye yazılımı bu dosyayı sistemde görürse kendi kendini silmekte.

GÜNCELLEME Temmuz 2017: Uzun bir aradan sonra, kötücül yazılım analistleri Petya virüsü için bir şifre anahtarı çıkartılar ve Petya virüsünün şifrelediği dosyaları deşifre edebildiğini idda ettiler. Petya Deşifre anahtarı iki farklı basit formda gelmekte: bir CD versiyonu ve bir de yürütülebilir Windows dosyası şeklinde. Bu yöntemin bireysel deşifre anahtarı olarak değil de petya virüsü sistemden silindikten sonra dosyaları geri getirme amacı ile tasarlandığını unutmayınız Mischa ve GoldenEye deşifre anahtarları da buna dahildir.  Bu aracın kullanımına dair daha detaylı açıklamalar makalemizde paylaşılmıştır. 

Petya virus

Ne yazık ki, deşifre anahtarı Petya hibrid versiyonu olan PetyaWrap ve EternalPetya karşısında hala başarısızdır. 

Petya virüsünün karakteristik özellikleri ve davranışları

Sanal topluluklar hızlı bir çözüm ile bu kötülüğü hızlıca sona erdirme yöntemlerini arasalar da, IT uzamnları bu kötücül yazılıma karşı bakışımızı değiştirebilecek garip detaylar açıkladılar. Petya virüsünün orjinal versiyonu ortaya çıktığı zaman içerisinde bir adet “diski yoket” özelliği barındırmakta idi. Başka bir deyişle, dosyaları şifrelese bile denetim masası ile sağlıklı bir iletişim kuramayp kurbanın numarasını merkeze iletemiyordu.

Aynı ExPetr/NotPetya/Petna/Petya virüsleri gibi ID prosesinde sorun yaşamaktadır. Dahası, suçlularla ilişiği olan bir adres daha kapatılmıştır. Kısaca, kurbanın sistemindeki veri kurtarma belirli bir kod olmadan imkansız hale gelmektedir. 

Kötücül yazılım belirli bir anahtar yerine rastgele numaralar ve karakterler yaratmaktadır. Başka bir deyişle, IT uzmanları bu kötücül yazılıma veri silici derler, teknik olarak verilerin geri kurtarılmasını imkansız hale getirir. Son olarak, verilen zararın ölçüsüne göre uzmanlar Petya tehditinin SMB ve yerel ağları hedef almak için PSExec, WMI, ve Eternal Blue açıklarının bir karışımını kullandığını belirtmekte. Bu yüzden, ödeme yapmaktan kaçınıldığı taktirde verileri geri kazanmanın başka yolu bulunmamakta. 

Petya virüsü ekran görüntüsüYukarıdaki resimde Petya virüsü ele geçirdiği makinalarda gösterdiği fidye notunu ve ödeme sayfasını görebilirsiniz

Petya Saldırılarının Listesi

İsim

Petya

Kategori

Fidye yazılımı

 

 

Kurbanlar

 

M.E.Doc serverları

Saldırı ilk olarak Ukrayna'da ortaya çıkmıştır. Popüler bir muhasebe yazılım paketi olan M.E.Doc programının güncellemesi şeklinde 18 Haziran(veya daha önce) ortaya çıkmıştır.   

Ukrayna Merkez Bankası 

Daha sonra merkez bankası “geniş çaplı siber saldırı” uyarısında bulundu. Finans kurumlarının ekstra dikkatli olması gerektiği konusunda uyarılarda bulundu.

Oshchadbank 

Bir saat sonra, Oshchadbank fidye virüsü yüzünden kullanıcıları için hizmet kısıtlamasına gittiğini duyurdu.

Ukrayna Bakanlar Kurulu

Ukrayna Bakanlar Kurulu üyeleri bilgisayarlarının Petya fidye virüsü ile kontrol altına alındığına dair tweet atmaya başladılar.

Maersk

Ardından, Hollanda ve Danimarka'nın konteynır taşımacılık devi olan Maersk şirketine sızdı.  Şirket tüm konteynır operasyonlarını durdurdu.

Rosneft

Aynı gün Rus petrol devi Rosneft saldırıyı onayladı.

DLA Piper

DLA Piper, uluslararası hukuk firması olarak bu fidye virüsüne maruz kaldıklarını bildirdi. Şirket sunucularını kapattı.

Mondelez

Mondelez ofisleri fidye yazılımının saldırısına uğradıklarını 27 Haziran tarihinde duyurdu. Saldırı suncularını kullanım dışı bırakmıştı.

WPP

İngiltere'de bulunan popüler pazarlama şirketi WPP, olası bir fidye yazılımı olduğunu bildirdi ve bu da elbette Petya fidye virüsü idi.

Kiev Metro

Kiev Metro 24 Ekim tarihinde Bad Rabbit saldırısına uğradığını bildirdi

Odessa Uluslararası Havaalanı

Odessa Uluslar Arası Hava Alanı aynı gün fidye yazılımı saldırısına uğradığını bildirdi.

Ne yazık ki, fidye yazılımının kurbanları her geçen gün artmakta. Hepsi Petya ile ilgili şikayette bulunmasada birkaç bin şirketin bu saldırıdan etkilendiği düşünülmekte.

Fidye yazlımının Fonskiyonelliği

Daha önce de bahsettiğimiz gibi diğer fidye yazılımlarının aksine bu kötücül yazılım hemen sistemi tekrar başlatır. Sistem yeniden başladığında ise ekranda şu mesaj görülür:

DO NOT TURN OFF YOUR PC!
IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA!
PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

İlk ortaya çıktığında sistem hatası gibi gözükse de aslında Petya virüsü sessizce arka planda dosyaları şifreleme işlemini gerçekleştirmektedir. Şifreleme işlemi devam ederken kullanıcı sistemi yeniden başlatmaya kalkarsa kırmızı ışıklarla yanıp sönen bir iskelet çıkıp “BİR TUŞA BASIN” göstermekte ve tuşa basmakla birlikte ekranda fidye notu belirmekte.

İlk başta kullanıcıdan yaklaşık 0.9 BTC fidye istenmekte bu da bugün yaklaşık $400 etmekte. Şimdi bu miktar yaklaşık $300 değerinde olmakta bu yüzden farklı şirketler farklı ücretler ödeyebilirler. 

Petya fidye yazılımı oldukça kompleks olup askeri işlemler için bile kullanılan RSA-4096 ve AES-256 algoritmaları ile şifreleme işlemini gerçekleştirir. Böyle bir kodu ilgili şifreler olmadan kurmak imkansıza yakındır. Elbette, aynı diğer Locky virüsü, CryptoWall virüsü, ve CryptoLocker gibi programlarda olduğu gibi özel deşifre anahtarı uzak bir sunucada tutulmaka ve sadece fidye yazılımının yaratıcılarına ilgili mebla ödendikten sonra erişilebilmekte.

Petya virus

Fidye yazılımı dosyaları şifrelemekten çok daha fazla sorunlara yol açmakta

Virüs sisteme girdikten sonra, ana kayıt da denilen sisteminizi baştan başlatmaya yarayan windows kayıt dosyaların baştan yazmaya çalışır . MBR ayarlarını düzeltmediğiniz sürece Petya virüsünü sisteminizden kaldıramazsınız.

Bu ayarları değiştirip virüsü sisteminizden başarı ile silseniz bile virüs sisteminizde kalmaya devam edecektir çünkü virüsü kaldırma işlemi şifreli dosyalarınıza kavuşmanızı sağlamaz. Elbette bu prosedür bilgisayarınızı kullanmak istiyorsanız kesinlikle şarttır. Petya virüsünü kaldırma işlemi için oldukça sofistike ve güçlü olan ReimageIntego  gibi bir antivirüs aracı kullanmanızı tavsiye etmekteyiz.

Güvenlik uzmanları dosyalarınızı geri kurtamanıza yardım edebilecek özel algoritmalı fidye virüsü deşifre anahtarı yayınladılar. Bu algoritmayı kullanabilmek için bu websitesini ziyaret etmeniz gerekmektedir.

Fakat Petya virüsü sisteminizdeki dosyaları tekrar şifrelemeden önce sistemden kaldırılmalıdır. Sistemden kaldırma konusunda sorunlar yaşıyorsanız bu makalenin altındaki detaylı incelemeye göz atabilirsiniz.

Petya virus

Petya'nın Versiyonları

Bu fidye yazılımı internetteki varlığın 2016 yılından beri genişletmekte – Petya geliştiricileri çoktan şu versiyonları yayınladılar bile:

Mischa fidye yazılımı ilk olarak 2016 yılında tespit edildi. Janus Siber Suç Çözümleri kampayasının bir parçası olup hacker olmak isteyenlere Petya ile ortak çalışma şansı veren bir virüstü. Elbete bu virüs ağına katılmak için belirli bir kayıt ücreti vermeniz gerekmekteydi.

Fidyenin boyutuna göre internette bu virüsün yayılmasına katkıda bulunan kullanıcılar elde edilen gelirin 85% sahip olmaktadır. Böyle bir şirketle ortak çalışmayı düşünüyorsanız bu şirketin hiçbi ahlaki değere sahip olmadığını ve ilk fırsatta sizi de harcayacağını unutmamalısınız.

Petrwrap fidye yazılımı  Janus Cybercrime Solutions kampanyasına ait olmayan ama ortak çalışan bir fidye yazılımı olarak kabul edilir. Petya'nın ECDH algoritmasını ağlarda kullanan farklı bir virüsdür ve kullanıcılara RaaS sistemi dışında özel ve genel anahtarlar yaratmalarına imkan verir.

Fidye yazılımı hedef bilgisayarlara sızıp virüsü sistemlere sızdırmak için RDP ağısnı ve PsExec aracını kullanır.

GoldenEye fidye virüsü de Petya virüsüne çok yakındır. Kurbana kayıplarını göstermek için hedef dosyalara belirli uzantılar ekler. Virüs ayrıca Kullanıcı Hesap Kontrolü (UAC) denilen sistemi de petya fidye yazılımını sisteme entegre etmek için es geçer. UAC maksimuma ayarlanırsa kötücül yazılım sistemi ele geçirmeyi devalarca deneyebilir. “Evet” demek sistemde kötücül yazılımı aktif hale getirecektir.

Mamba fidye yazılımı kendisi öncelikle Alman şirketlerini hedef alsa da tüm bilgisayarları hedef alabilen bir bilgisayardır. Bu kötücül program sisteme gizlice girip kötücül işlemlerini sessizce arka planda halleder.

Bu versiyonda, hackerlar Petya’ya Salta20 uygulamasını eklemeyi başardılar. Bu virus daha önceki versiyonlarda olduğu gibi PDF dosyası ile yayılmaktadır. Virüs geliştiricileri bu virüsü yaymak için sahta program güncellemelerini kullanmaktadır.

Bad Rabbit fidye virüsü ayrıca Diskcoder.D. olarak da bilinmektedir. Ekim 2017 tarihinde Rusya ve Ukrayna’daki bazı kurumlara saldırması ile ortaya çıkmıştır. Kötücül yazılım AES ve RSA şifreleme tekniklerini kullanıp etkilediği dosyalara .encrypted uzantısını eklemektedir. Kötücül yazılımların bu sürümü sahte flash güncellemesi ile SMB acığını kullanarak sistemlere girer. Ayrıca dosyaları şifreleyip  sadece 0.05 Bitcoin fidye istemekle kalmaz fakat kimlik bilgilerini de çalar..

Sızıntı teknikleri ve önmele yöntemleri

Petya virüsü genelde spam epostalarla yayılıp Dropbox indirme linki gönderir bu linkte de “application folder-gepackt.exe” dosyası mevcuttur. Virüs söz konusu dosya indirilip açıldıktan sonra aktif hale gelir. Fakat virüsün son versiyonu CVE-2017-0199 Office RTF açığını kullanarak bilgisayara girer.

Bu virüsün nasıl yayıldığını bildiğinize göre ilgili önlemleri de almanız gerekmektedir. Elbette epostaları açarken dikkatli olmalısınız  özellikle de bilinmeyen kaynaklardan geliyorsa .

Ayrıca MS17-010 ve diğer Microsoft güncellemelerini indirdiğinizden emin olun ve SMB açıklarına karşı önleminizi alın. Fidye yazılımlarının bilinen en büyük kaynaklarından birisidir. Son olarak sistminize saygın bir antivirus yazılımı yükleyip güncel tuttuğunuzdan emin olmalısınız.

Dosyalarınızı şifrelenmekten kurtarmak için zaman zaman güncellemeniz gerekmektedir. Bu durumda, önemli verilerinizi bulut, harici disk, usb gibi birkaç ayrı fiziksel yerde saklamalısınız.Petya virus

Petya kaldırma işlemi için talimatlar

Daha önce de bahsettiğimiz gibi, Petya virüsünün bilgisayarınzıdan kaldırılması bilgisayarınızdaki dosyaların geleceği için gereklidir. Ayrıca, harici disklerden veri kurtarma işlemi sadece başar ile virus kaldırıldıktan sorna gerçekleştirilebilir. Aksi taktirde, Petya tekrar dosyalarınızı ele geçirebilir.

Bu kötücül programı sadece bilgisayarınızda basit bir kaldır opsiyonu ile kaldıramazsınız çünkü böyle bir seçenek yoktur. Bu da virüsü otomatik olarak kaldıramayacağın anlamına gelmemektedir.  Otomatik Petya kaldırma işlemi sadece güvenilir antivirus yazılımları tarafından gerçekleştirilmiştir. Bunun için de size, ReimageIntego, SpyHunter 5Combo Cleaner veya Malwarebytes tavsiye etmekteyiz.

Bu virüsü kaldırırken bazı zorluklarla karşılaşıyorsanız veya antivirus programınız blocklanıyorsa, bunun için de detaylı yazımızı inceleyebilirsiniz.

 

Teklif
Şİmdi yapın!
İndir
Reimage Mutluluk
Garanti
İndir
Intego Mutluluk
Garanti
Microsoft Windows ile uyumludur. Supported versions OS X ile uyumludur. Supported versions
Başarılı olunamadığında ne yapmalı?
  Reimage Intego kullanarak virüslerin verdiği hasarı telafi etmeyi başramadıysanız, submit a question adresinden destek ekibimizle iletişime geçin ve paylaşabildiğiniz kadar çok detay paylaşın.
Reimage Intego ücretsiz bir deneme sürümüne sahiptir. Reimage Intego tam sürümünü satıl alan kullanıcılar daha detaylı taramalar yapabilir. Ücretsiz sürüm virüsleri belirlemek için tarama yaoar ve bu virüsleri nasıl sileceğinize dair rehber sunar. Tam sürüm bu dosyaları otomatik olarak kaldırır.
Diğer yazılım
Farklı programların farklı amaçları vardır. Eğer zarar gören dosyanızı Reimage kullanarak tamir edemezseniz SpyHunter 5 programını deneyebilirsiniz.
Diğer yazılım
Farklı programların farklı amaçları vardır. Eğer zarar gören dosyanızı Intego kullanarak tamir edemezseniz Combo Cleaner programını deneyebilirsiniz.

Devletin sizi takip etmesine izin vermeyin

Devletler kişilerin tüm bilgilerini öğrenmek ve vatandaşları gizlice takip edebilmek için türlü çareler arar. Bunu mutlaka dikkate almalı ve gizli bilgileri toplayan araçlar hakkında daha fazla bilgi edinmelisiniz. Devletin sizi takip etmesinin önüne geçebilmek için internette tamamen gizli bir şekilde dolaşmalısınız.

Bilgisayarda internete bağlandığınızda farklı bir lokasyon seçerek güvenli bir şekilde konum gizlenebiliyor. Private Internet Access VPN programını kullanarak bu casus yazılımlardan tamamen kurtulabilir ve rahat bir internet deneyimi yaşarsınız.

Bu şekilde devletin sizden alabileceği bilgileri belirleme şansına sahip olursunuz ve bazı bilgiler sadece size kalır. Her ne kadar yasal olmayan bir şey yapmasanız ya da seçtiğiniz siteler ve programların hepsi yasal olsa da VPN servisi kullanarak güvenlik seviyenizi kendiniz belirleyebilirsiniz. 

Herhangi bir siber saldırıya karşı dosyalarınızı yedekleyin

Zararlı yazılımlardan kaynaklanan yazılımsal sorunlar ya da dosya şifreleme virüslerinin yol açtığı problemler bilgisayarlarda kalıcı sorunlara yol açabilir. Eğer dosyalarınızı bu sorunları yaşamadan önce yedeklerseniz bu sorunları kolaylıkla aşabilirsiniz.

Bilgisayarda oluşan her önemli değişimden sonra cihazı tekrar yedeklemek hayati bir önem taşıyabilir. Bu sayede bilgisayarınızda meydana gelebilecek türlü sorunlar karşısında aldığınız son yedek dosyaları kolaylıkla yükleyebilir ve kayıpsız bir şekilde önünüze çıkan problemi çözebilirsiniz.

Eğer dosyalarınızın son sürümler her zaman yedeklenmiş olursa yeni bir sorun karşısında hayal kırıklığı, çöküntü ya da büyük bir maddi kayıp yaşamazsınız. Bu sayede zararlı yazılımlar bir anda ortaya çıktığında hazırlıksız yakalanmamış olursunuz. Sistem yedekleme işlemleri için Data Recovery Pro programını kullanabilirsiniz.

Yazar hakkında
Lucia Danes
Lucia Danes - Virüs araştırmacısı

Eğer bu ücretisz kaldırmal yöntemi size yardımcı oldusysa lütfen bu servici sürdürebilmemiz için bize bağış yapın. En ufak miktarda bile minnettat olacağız.

Lucia Danes ile iletişme geç
Esolutions Şirketi hakkında

Kaynak: https://www.2-spyware.com/remove-petya-virus.html
DİĞER DİLLERDE KALDIRMA KILAVUZLARI