Petya virüsünü kaldır (Haz 2018 güncellemesi) - Kaldırma Rehberi

Petya fidye virüsü nedir

Petya'nın geliştiricileri geri döndü: Bad Rabbit fidye virüsü 2017 yılının Ekim ayında ortaya çıktı

Petya fidye yazılımı 2016 yılında yayılmaya başlamış bir virüstür. Fakat bu sene birkaç kez güncellendi ve son versiyonu Ekim 2017 de ortaya Diskcoder.D veya Bad Rabbit fidye virüsü adı ile çıktı. Güncel raporlara göre, yazılımın son versiyonu Ukrayna ve Rus merkezli şirketleri hedef almakta.

PetrWrap, GoldenEye fidye yazılımı, Mamba virüsü ve Mischa fidye yazılımı olarak da bilinen, Petya virüsünün ortaya çıkışı WannaCry ile benzerlik göstermektedir – Birden bire ortaya çıkıp durmaksızın yayılmaya başlamış. Bazı anti-virüs araçları ise NotPetya ve Nyetya fidye yazılımı olarak tanımlamakta.

Fidye yazılımı çoktan bir kaç banka, enerji şirketi ve “Rosneft”, “Maersk“, “Saint – Gobain” gibi bazı şirketleri etkilemiş durumda. Ukraynalı yazılım şirketi olan MeDoc virüsü yaymakla suçlanmakta Şirket ilgili suçlamaları reddetse de, bazı IT uzmanlarına göre virüsün ana kaynağı firmanın olduğuna dair ipuçları bulunmakta.

Bad Rabbit kötücül yazılımının kısa incelemesi

Güncel raporlara göre Petya fidye yazılımının en güncel versiyonu 24 Ekim tarihinde Kiev Metrosu ve Odessa Uluslararası Hava alanına saldırmış. Saldırılarının çoğunluğu Rusya (66%) ve Ukrayna(12.2%) sınırları içinde olsa da Türkiye, Bulgaristan ve Japonya gibi ülkeler de bu fidye yazılımından etkilenmektedir.

Kötücül yazılım virüslü sitelereki sahte Flash güncellemeleri ile yayılmakta. The Bad Rabbit virüsü Win32/Filecoder.D klasörüne kurulan install_flash_player.exe dosyası ile yayılmakta. Ayrıca, kötücül yazılım taramaları Windows Server Mesaj Blocklarında(SMB) iç ağlar tespit etmekte. Aynı sızma taktiği WannaCry tarafından kullanılmıştı ve ne kadar başarılı olduğu konusunda kimsenin şüphesi yok. Fakat, Petya'nın bu versiyonu EthernalBlue açığını kullanmamakta.

DiskCryptor ve RSA-2048 ile AES-128-CBC kombinasyonu kullanarak tüm diski şifreler. Hedeflediği dosyalara .encrypted uzantısını ekler. Sadece kullanıcının hesaplarını şifrelemekle kalmaz aynı zamanda Mimikatz aracı kullanarak kullanıcı ve şifre gibi bilgileri de çalar.

Veri şifreleme işleminden sonra, kötücül yazılım direk ödeme sayfasını da gösteren fidye notunu gösterir. Kurbanlardan deşifre anahtarı için 0.05 Bitcoin istenir. Fidyenin miktarı artana kadar kurbanların 41 saati vardır. Yine de fidyeyi ödemek tavsiye edilmez. Petya virüsünü acilen FortectIntego veya başka bir kötücül yazılım kaldırma programı ile silmelisiniz.

Petya fidye yazılımı Haziran 2017 tarihinde güncellenmiştir

Haziran 2016 tarihinde, siber suçlular Petya virüsünü güncellediler ve fidyeleri toplamak için [email protected] eposta adresini kullanmaya başladılar. Kullanıcının verilerini kurtarabilmesi için $300 karşılığında Bitcoin ödemesi yapılması gerekir. Ukrayna, İngiltere, İspanya, Danimarka, Hollanda, Hindistan ve diğer ülkeler de saldırıyı doğrulamaktadır.

Petya fidye yazılımı, kurbanın dosyalarını tek tek şifrelemez – bu da virüsün son zamanlarda güncellendiğinin açık ispatıdır. Onun yerine sistemi yeniden başlatıp MFT( Master dosya tablosunu) şifreler. The MBR (ana çalıştırma kaydı) çalışmayı durdurur ve istenilen dosyanın adını, boyutunu, lokasyonunu göstermeyi başaramaz.

Sahte bir dosya indirmeniz halinde de virüse maruz kalabilirsiniz bu yüzden, bilinmeyen epostaları açarken çok dikkatli olmalısınız. Fakat The Hacker News sitesinin haberine göre virüs Windows için WannaCry ile aynı SMBv1 açığını kullanmakta. Kendinizi korumak için FortectIntego programını yükleyip, Petya kötücül yazılımına ait dosyaları kaldırdığınızdan emin olmalısınız.

GÜNCELLEME: IT uzmanı Lawrence Abrams'a göre Petya korsanından uzak durmanın bir yolu bulunmakta – internet kullanıcıları perfc adlı bir dosya yaratıp C:Windows klasörüne yerleştirmeli. Görünüşe göre fidye yazılımı bu dosyayı sistemde görürse kendi kendini silmekte.

GÜNCELLEME Temmuz 2017: Uzun bir aradan sonra, kötücül yazılım analistleri Petya virüsü için bir şifre anahtarı çıkartılar ve Petya virüsünün şifrelediği dosyaları deşifre edebildiğini idda ettiler. Petya Deşifre anahtarı iki farklı basit formda gelmekte: bir CD versiyonu ve bir de yürütülebilir Windows dosyası şeklinde. Bu yöntemin bireysel deşifre anahtarı olarak değil de petya virüsü sistemden silindikten sonra dosyaları geri getirme amacı ile tasarlandığını unutmayınız Mischa ve GoldenEye deşifre anahtarları da buna dahildir. Bu aracın kullanımına dair daha detaylı açıklamalar makalemizde paylaşılmıştır.

Ne yazık ki, deşifre anahtarı Petya hibrid versiyonu olan PetyaWrap ve EternalPetya karşısında hala başarısızdır.

Petya virüsünün karakteristik özellikleri ve davranışları

Sanal topluluklar hızlı bir çözüm ile bu kötülüğü hızlıca sona erdirme yöntemlerini arasalar da, IT uzamnları bu kötücül yazılıma karşı bakışımızı değiştirebilecek garip detaylar açıkladılar. Petya virüsünün orjinal versiyonu ortaya çıktığı zaman içerisinde bir adet “diski yoket” özelliği barındırmakta idi. Başka bir deyişle, dosyaları şifrelese bile denetim masası ile sağlıklı bir iletişim kuramayp kurbanın numarasını merkeze iletemiyordu.

Aynı ExPetr/NotPetya/Petna/Petya virüsleri gibi ID prosesinde sorun yaşamaktadır. Dahası, suçlularla ilişiği olan bir adres daha kapatılmıştır. Kısaca, kurbanın sistemindeki veri kurtarma belirli bir kod olmadan imkansız hale gelmektedir.

Kötücül yazılım belirli bir anahtar yerine rastgele numaralar ve karakterler yaratmaktadır. Başka bir deyişle, IT uzmanları bu kötücül yazılıma veri silici derler, teknik olarak verilerin geri kurtarılmasını imkansız hale getirir. Son olarak, verilen zararın ölçüsüne göre uzmanlar Petya tehditinin SMB ve yerel ağları hedef almak için PSExec, WMI, ve Eternal Blue açıklarının bir karışımını kullandığını belirtmekte. Bu yüzden, ödeme yapmaktan kaçınıldığı taktirde verileri geri kazanmanın başka yolu bulunmamakta.

Yukarıdaki resimde Petya virüsü ele geçirdiği makinalarda gösterdiği fidye notunu ve ödeme sayfasını görebilirsiniz

Petya Saldırılarının Listesi

Ne yazık ki, fidye yazılımının kurbanları her geçen gün artmakta. Hepsi Petya ile ilgili şikayette bulunmasada birkaç bin şirketin bu saldırıdan etkilendiği düşünülmekte.

Fidye yazlımının Fonskiyonelliği

Daha önce de bahsettiğimiz gibi diğer fidye yazılımlarının aksine bu kötücül yazılım hemen sistemi tekrar başlatır. Sistem yeniden başladığında ise ekranda şu mesaj görülür:

DO NOT TURN OFF YOUR PC!
IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA!
PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

İlk ortaya çıktığında sistem hatası gibi gözükse de aslında Petya virüsü sessizce arka planda dosyaları şifreleme işlemini gerçekleştirmektedir. Şifreleme işlemi devam ederken kullanıcı sistemi yeniden başlatmaya kalkarsa kırmızı ışıklarla yanıp sönen bir iskelet çıkıp “BİR TUŞA BASIN” göstermekte ve tuşa basmakla birlikte ekranda fidye notu belirmekte.

İlk başta kullanıcıdan yaklaşık 0.9 BTC fidye istenmekte bu da bugün yaklaşık $400 etmekte. Şimdi bu miktar yaklaşık $300 değerinde olmakta bu yüzden farklı şirketler farklı ücretler ödeyebilirler.

Petya fidye yazılımı oldukça kompleks olup askeri işlemler için bile kullanılan RSA-4096 ve AES-256 algoritmaları ile şifreleme işlemini gerçekleştirir. Böyle bir kodu ilgili şifreler olmadan kurmak imkansıza yakındır. Elbette, aynı diğer Locky virüsü, CryptoWall virüsü, ve CryptoLocker gibi programlarda olduğu gibi özel deşifre anahtarı uzak bir sunucada tutulmaka ve sadece fidye yazılımının yaratıcılarına ilgili mebla ödendikten sonra erişilebilmekte.

Fidye yazılımı dosyaları şifrelemekten çok daha fazla sorunlara yol açmakta

Virüs sisteme girdikten sonra, ana kayıt da denilen sisteminizi baştan başlatmaya yarayan windows kayıt dosyaların baştan yazmaya çalışır . MBR ayarlarını düzeltmediğiniz sürece Petya virüsünü sisteminizden kaldıramazsınız.

Bu ayarları değiştirip virüsü sisteminizden başarı ile silseniz bile virüs sisteminizde kalmaya devam edecektir çünkü virüsü kaldırma işlemi şifreli dosyalarınıza kavuşmanızı sağlamaz. Elbette bu prosedür bilgisayarınızı kullanmak istiyorsanız kesinlikle şarttır. Petya virüsünü kaldırma işlemi için oldukça sofistike ve güçlü olan FortectIntego gibi bir antivirüs aracı kullanmanızı tavsiye etmekteyiz.

Güvenlik uzmanları dosyalarınızı geri kurtamanıza yardım edebilecek özel algoritmalı fidye virüsü deşifre anahtarı yayınladılar. Bu algoritmayı kullanabilmek için bu websitesini ziyaret etmeniz gerekmektedir.

Fakat Petya virüsü sisteminizdeki dosyaları tekrar şifrelemeden önce sistemden kaldırılmalıdır. Sistemden kaldırma konusunda sorunlar yaşıyorsanız bu makalenin altındaki detaylı incelemeye göz atabilirsiniz.

Petya'nın Versiyonları

Bu fidye yazılımı internetteki varlığın 2016 yılından beri genişletmekte – Petya geliştiricileri çoktan şu versiyonları yayınladılar bile:

Mischa fidye yazılımı ilk olarak 2016 yılında tespit edildi. Janus Siber Suç Çözümleri kampayasının bir parçası olup hacker olmak isteyenlere Petya ile ortak çalışma şansı veren bir virüstü. Elbete bu virüs ağına katılmak için belirli bir kayıt ücreti vermeniz gerekmekteydi.

Fidyenin boyutuna göre internette bu virüsün yayılmasına katkıda bulunan kullanıcılar elde edilen gelirin 85% sahip olmaktadır. Böyle bir şirketle ortak çalışmayı düşünüyorsanız bu şirketin hiçbi ahlaki değere sahip olmadığını ve ilk fırsatta sizi de harcayacağını unutmamalısınız.

Petrwrap fidye yazılımı Janus Cybercrime Solutions kampanyasına ait olmayan ama ortak çalışan bir fidye yazılımı olarak kabul edilir. Petya'nın ECDH algoritmasını ağlarda kullanan farklı bir virüsdür ve kullanıcılara RaaS sistemi dışında özel ve genel anahtarlar yaratmalarına imkan verir.

Fidye yazılımı hedef bilgisayarlara sızıp virüsü sistemlere sızdırmak için RDP ağısnı ve PsExec aracını kullanır.

GoldenEye fidye virüsü de Petya virüsüne çok yakındır. Kurbana kayıplarını göstermek için hedef dosyalara belirli uzantılar ekler. Virüs ayrıca Kullanıcı Hesap Kontrolü (UAC) denilen sistemi de petya fidye yazılımını sisteme entegre etmek için es geçer. UAC maksimuma ayarlanırsa kötücül yazılım sistemi ele geçirmeyi devalarca deneyebilir. “Evet” demek sistemde kötücül yazılımı aktif hale getirecektir.

Mamba fidye yazılımı kendisi öncelikle Alman şirketlerini hedef alsa da tüm bilgisayarları hedef alabilen bir bilgisayardır. Bu kötücül program sisteme gizlice girip kötücül işlemlerini sessizce arka planda halleder.

Bu versiyonda, hackerlar Petya’ya Salta20 uygulamasını eklemeyi başardılar. Bu virus daha önceki versiyonlarda olduğu gibi PDF dosyası ile yayılmaktadır. Virüs geliştiricileri bu virüsü yaymak için sahta program güncellemelerini kullanmaktadır.

Bad Rabbit fidye virüsü ayrıca Diskcoder.D. olarak da bilinmektedir. Ekim 2017 tarihinde Rusya ve Ukrayna’daki bazı kurumlara saldırması ile ortaya çıkmıştır. Kötücül yazılım AES ve RSA şifreleme tekniklerini kullanıp etkilediği dosyalara .encrypted uzantısını eklemektedir. Kötücül yazılımların bu sürümü sahte flash güncellemesi ile SMB acığını kullanarak sistemlere girer. Ayrıca dosyaları şifreleyip sadece 0.05 Bitcoin fidye istemekle kalmaz fakat kimlik bilgilerini de çalar..

Sızıntı teknikleri ve önmele yöntemleri

Petya virüsü genelde spam epostalarla yayılıp Dropbox indirme linki gönderir bu linkte de “application folder-gepackt.exe” dosyası mevcuttur. Virüs söz konusu dosya indirilip açıldıktan sonra aktif hale gelir. Fakat virüsün son versiyonu CVE-2017-0199 Office RTF açığını kullanarak bilgisayara girer.

Bu virüsün nasıl yayıldığını bildiğinize göre ilgili önlemleri de almanız gerekmektedir. Elbette epostaları açarken dikkatli olmalısınız özellikle de bilinmeyen kaynaklardan geliyorsa .

Ayrıca MS17-010 ve diğer Microsoft güncellemelerini indirdiğinizden emin olun ve SMB açıklarına karşı önleminizi alın. Fidye yazılımlarının bilinen en büyük kaynaklarından birisidir. Son olarak sistminize saygın bir antivirus yazılımı yükleyip güncel tuttuğunuzdan emin olmalısınız.

Dosyalarınızı şifrelenmekten kurtarmak için zaman zaman güncellemeniz gerekmektedir. Bu durumda, önemli verilerinizi bulut, harici disk, usb gibi birkaç ayrı fiziksel yerde saklamalısınız.

Petya kaldırma işlemi için talimatlar

Daha önce de bahsettiğimiz gibi, Petya virüsünün bilgisayarınzıdan kaldırılması bilgisayarınızdaki dosyaların geleceği için gereklidir. Ayrıca, harici disklerden veri kurtarma işlemi sadece başar ile virus kaldırıldıktan sorna gerçekleştirilebilir. Aksi taktirde, Petya tekrar dosyalarınızı ele geçirebilir.

Bu kötücül programı sadece bilgisayarınızda basit bir kaldır opsiyonu ile kaldıramazsınız çünkü böyle bir seçenek yoktur. Bu da virüsü otomatik olarak kaldıramayacağın anlamına gelmemektedir. Otomatik Petya kaldırma işlemi sadece güvenilir antivirus yazılımları tarafından gerçekleştirilmiştir. Bunun için de size, FortectIntego, SpyHunter 5Combo Cleaner veya Malwarebytes tavsiye etmekteyiz.

Bu virüsü kaldırırken bazı zorluklarla karşılaşıyorsanız veya antivirus programınız blocklanıyorsa, bunun için de detaylı yazımızı inceleyebilirsiniz.