Geçtiğimiz Mayıs ayında, 150 ülkede 300 binden fazla bilgisayarı etkileyen WannaCry saldırısından sonra yeni bir siber saldırı dalgası daha yaşanmaya başlandı. Ukrayna ve Rusya’dan başlayarak yayılan saldırıya Petya isimli fidye yazılımın neden olduğu düşünülüyor.
Vargonen Teknoloji olarak, akıllardaki soru işaretlerini gidermek adına Petya saldırısını inceleyerek, Petya nedir? Son kullanıcıların ve şirketlerin bu saldırıdan korunmak için yapması gerekenler nelerdir? sorularının yanıtlarını sizler için derledik.
Petya Virüsü Nedir?
Petya, WannaCry saldırılarında olduğu gibi NSA’den sızdırılan EternalBlue istismar aracını kullanarak yayılıyor ve bulaştığı sistemde 10 ila 60 dakika bekleyerek yeniden başlatma işlemi gerçekleştiriyor. Başlatma işleminden sonra NTFS bölümünde bulunan MFT tablosunu şifreleyerek MBR(Master Boot Record)’yi fidye notuyla yeniden yazarak kullanıcıların sistemlerine tekrar erişebilmeleri için Bitcoin ile fidye ödemesi yapmalarını talep ediyor.
Petya’dan Korunmak İçin Hangi Önlemler Alınmalı?
Petya fidye yazılımından korunmak için alınabilecek genel önlemlerden önce Petya’ya özel iki çözüm önerisini sizlerle paylaşmak isteriz.
- Bunlardan birincisi eski NSA çalışanı Edward Snowden’ın paylaştığı yöntem. Snowden’a göre yazılımın bulaştığı bilgisayar yeniden başlatılmadan önce erken davranılarak kapatılmalı sabit disk çıkarılmalı. Bu sayede diskte yer alan verilerin şifrelenmeden kurtarılabilmesi mümkün.
- Bir diğeri ise Symantec’in paylaştığı öneri. Petya fidye yazılımı, saldırının ilk aşamasında Windows klasörü altında “perfc” adlı bir dosya oluşturuyor. Symantec’e göre “perfc” adlı dosya saldırı gerçekleşmeden önce manuel olarak oluşturulur ve değiştirme hakları kapatılırsa saldırı otomatik olarak engellenebilir.
Petya’ya özel çözüm önerileri haricinde bu ve benzeri saldırılardan etkilenmemeniz için almanız gereken önlemler şu şekilde:
-Kaynağından emin olmadığınız ve sizinle alakasının bulunmadığını düşündüğünüz e-postaları kesinlikle açmamanızı öneririz.
-Server Message Block (SMB) servisini kullanmıyorsanız, SMBv1 protokolünü devre dışı bırakabilirsiniz.
-WannaCry saldırısında olduğu gibi bu saldırıda da işletim sistemi güncelliği önemli bir korunma yöntemi. Eğer Microsoft işletim sistemi ailesinden herhangi bir işletim sistemini kullanıyorsanız ve MS17-010 kodlu güvenlik güncellemesini daha önce yüklemediyseniz, hızlı bir şekilde güncelleme işlemini gerçekleştirmenizi tavsiye ederiz.
-Şirket veya kişisel bilgisayarlarınızda, Windows Defender’ı aktif hale getirip güncellemelerini yaparak bu saldırıdan korunabilirsiniz.
-Windows Server 2008 ve öncesi işletim sistemlerinden herhangi birisini kullanıyorsanız, daha aktif güncellenen server işletim sistemlerine geçiş yapmanızı tavsiye ederiz.
-Petya ve benzeri zararlı yazılımlardan korunmak adına, bilgisayarınızdaki ve sunucunuzdaki verilerinizin yedeklenmesi önem arz etmektedir. Tercih etmiş olduğunuz yedekleme hizmetine göre, 1 günden 21 güne kadar, ihtiyaç duyduğunuz aralıklarla, birçok farklı kombinasyonda yedekleme hizmeti alabilirsiniz. İşletim sistemi altyapınız da göz önünde bulundurularak; ister dosyalarınızı, isterseniz sunucunuzu back-up hizmeti kapsamındaki gün sayısı kadar yedekten geri döndürmeyi talep edebilirsiniz. Bu kapsamda verilerinizin bağımsız donanımlar üzerinde bir yedeğini bulundurarak en önemli güvenlik önlemini almış olursunuz.
-SLA hizmeti alarak sunucularınızın Vargonen’in uzman sistem destek ekibi tarafından yönetilmesini sağlayabilirsiniz. SLA hizmetlerimiz ile sunucularınız 7 gün 24 saat izlenerek, sıra dışı kaynak ve trafik kullanımlarında incelemeye alınır. Yapılan incelemeler doğrultusunda tarafınıza bilgi verilerek ve gerekli müdahale gerçekleştirilir.
Zararlı yazılımlardan etkilenmemeniz adına, Vargonen’in sizlere sunmuş olduğu sunucu yedekleme ve SLA hizmetlerimiz ile ilgili detaylı bilgi almak için 0850 660 00 99 numaralı telefondan Vargonen Sistem Destek uzmanlarına ulaşabilirsiniz.