19 Eylül 2017 Salı

28.06.2017 TR-17-074 (Petya Zararlı Yazılımı)

57 defa okundu

TR-17-074 (Petya Zararlı Yazılımı)

 

Genel Bilgi

Microsoft tarafından 27.06.2017 tarihi itibariyle Ukrayna'dan başlayarak 64 ülkedeki sistemlere zarar verdiği raporlanan Petya zararlı yazılımı, Wannacry zararlı yazılımına benzer bir biçimde, oltalama e-postaları ve güncel olmayan servisleri (SMB) kullanarak yayılmaktadır. Ayrıca geliştirilen son sürümünde worm özelliğiyle (kendi kendini yayabilen yazılım) bulaştığı sistemlerde hızlıca yayılma yeteneği de kazanan Petya zararlısı, Microsoft Office yazılımındaki bir zafiyeti (CVE-2017-0199) kullanarak, ofis dokümanları içerisine yerleştirilerek sahte e-postalar ekinde gönderilmektedir.

Etki

Wannacry zararlı yazılımında da olduğu gibi bulaştığı sistemlerde ana önyükleme kayıtlarını (master boot record) şifreleyerek (yeniden dosyanın üzerine yazarak) erişilemez hale getiren Petya zararlısı, şifrelenen sistemin açılması için Bitcoin (para birimi) cinsinden ödeme talep etmektedir.

Çözüm

  • İlgili güncellemelerin yapılması (MS17-010 - https://technet.microsoft.com/en-us/library/security/ms17-010.aspxhttps://www.usom.gov.tr/tehdit/209.html)
  • Güncel bir antivirüs kullanılması (halihazırda kullanılan antivirüslerin son sürümlerine güncellenmesi),
  • SMB servisinin kullanılmadığı durumlarda kapatılması,
  • SMB servisinin 445 nolu portuna gelen trafiğin engellenmesi için ek önlem alınması,
  • Mevzubahis tehdit 139 ve 445 nolu portları hedef aldığından bu portalara gelen veya giden trafiğin kısıtlanması,
  • Merak uyandıran phishing (oltalama) e-postalarına karşı dikkatli olunması ve eklerinin açılmaması,
  • Servis desteği verilmeyen yazılımların kullanılmaması,

saldırı yüzeyini azaltacağı düşünülerek tavsiye edilmektedir.

Kaynaklar

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

https://www.usom.gov.tr/tehdit/209.html

https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-Ransomware-Infections-Reported