Siber Tehlikenin Farkında Mısınız? Petya Virüsü

Son bir ay içerisinde gerçekleştirilen küresel çapta siber saldırılardan ikincisi olan Petya’nın hâlen kapatma düğmesi araştırılıyor. 27 Haziran’da Ukrayna’dan başlayan saldırı, sadece 2 günde ikibinden fazla bilgisayarı etkiledi.

Mayıs 2017’de İngiltere’nin sağlık sistemlerini hedef alan ve oradan da pek çok ülkeye sıçrayan wanna cry adlı virüsle siber saldırı yapılmıştı ve konuyla ilgili önceki yazımızda, bu siber saldırının devamının gelebileceği uyarısında bulunmuştuk. Bu saldırı, bünyesinde bulundurduğu virüsü masum görünümlü bir e-postanın eki olarak gösterip bu şekilde sisteme sızmıştı. Aktive edildikten sonra tüm önemli dosyaları şifreleyip sonrasında takip edilemeyen bir hesaba sanal para - bitcoin cinsinden fidye istenmişti. Yapılan açıklamalara göre dünya genelinde 200.000 bilgisayarı etkisi altına almıştı. Bazı şirketler veri kaybını kabul ederken Güney Kore’de bulunan bir firmanın da yaptığı gibi 1 milyon dolar civarı para ödemeyi kabul edenler de olmuştu.

Wanna Cry Bitti Derken Petya Virüsü

Üzerinden 1 ay bile geçmeden 27.06.2017 tarihinde Microsoft Windows’un aynı açıklığından sızmayı başarabilen bir siber saldırı daha gerçekleşti. Araştırmacılara göre NotPetya / Petya denilen bu virüs başta Ukrayna, Rusya ve Amerika olmak üzere pek çok ülkeden şimdiden sistemleri alt üst etmiş durumda. Ukrayna’da hükümet birimleri dahil ülkenin pek çok biriminde sistemler kilitlenmiş, bazı metrolar durmuş hatta Çernobil Nükleer Santrali’nde de bilgisayarlar durmuş ve sızıntı ölçümleri elle yapılmakta. ABD’li ilaç şirketi Merck de dahil olmak üzere, Fransa’da tren taşımacılığı yapan şirket SNCF, Hollandadaki kargo şirketi TNT, Danimarka taşımacılık şirketi Moller-Maersk, ABD merkezli gıda şirketi Mondelez, ABD hukuk firması DLA Piper bu Petya virüsünün etkisi altında.

Petya virüsü bulaşan ve dosyaları şifrelenen bir bilgisayarın ekran görüntüsü

Virüsten etkilenen firmaların genel özellikleri arasında yazılımlarını güncellememeleri ve hava alanı gibi sürekli açık kalan sistemlere sahip olmaları yer alıyor.

Petya Virüsü Türkiye’yi Vurdu Mu?

Global çaptaki bu siber saldırıdan Türkiye de etkilendi, fakat saldırının sadece %1’i ülkemizi etkilemiş durumda. Bazı özel banka sistemlerinin etkilendiğine dair bilgiler var. Ülkemizin görece olarak daha az etkilenmesinin sebebi bayram tatili nedeni ile ortak mail sistemi kullanan şirketlerin çoğunun kapalı olması olarak gösteriliyor. Bu rakamın hızlıca artmasından endişe duyuluyor.

Şifrelenen Dosyalar Ne Olacak?

Kaspersky araştırmacılarına göre bu virüs, 2016 yılında çıkan ransomware türde bir virüs olan Petya fidye yazılımına benzemediği için NotPetya olarak adlandırılıyor. Yazılım türü ise şifrelenen dosyaların geri dönüşü olmadığı için Wiper yani Temizleyici olarak belirlenmiş durumda. Virüsten kurtulmak için 300 dolar fidye ödemesi yapan kişiler, dosyalarını sandıklarının aksine artık geri alamayacaklar. Çünkü virüsün merkezi e-posta adresi kapatıldı, şifre çözen anahtar (private key) alınamayacak ve yapılan 300 dolar ödemenin herhangi bir geri dönüşü olmayacak.

İlaç şirketi Merck'in Twitter'dan yaptığı açıklamadan da anlaşılacağı üzere saldırı devam ediyor ve halen verileri kurtarma yolu bulunmuş değil. Uzmanların yaptığı açıklamalara göre şifrelenen veriler artık yok hükmünde çünkü "anahtar" temin edilemiyor.

Tek çare virüsün sisteme girmemesi. Bunun için yapılması gerekenler:

Petya ve Diğer Virüs Saldırılarından Korunmak İçin Ne Yapmak Gerekiyor?

Öncelikli olarak durumsal farkındalığın yüksek olması gerekir. Aynı ağa bağlı bilgisayarlar arasında bir bilgisayardan sızacak olan virüs o ağdaki tüm bilgisayarlara sıçrayacak ve kilitleyecektir. Yapmamız gerekenlerin başında tanımadığımız kişilerden gelen e-postaları açmamak geliyor. İlaveten işletim sistemin güncellemelerini “otomatik yap”a ayarlayarak sistemi güncel tutmalıyız. Antivirüs programı kullanılıyorsa onun da güncelleştirmelerinin yapılması gerekir. Olası bir saldırıdan etkilenmemek için belirli aralıklarla mutlaka dosya yedeklemesi yapmak gerekir.

01 Temmuz 2017 Tarihli Güncelleme

Bilgi Teknolojileri ve İletişim Kurumu (BTK) konu ile ilgili uyarı yazısı yayınladı. Yazısında Petya zararlı yazılımının Microsoft Office'deki bir zafiyetten (CVE-2017-0199) yararlanılarak ofis dokümanları içine yerleştirildiğini ve sahte e-postalar ekinde gönderildiğini belirtti.

Merck ilaç şirketi 30 Haziran’da yayınladığı açıklama yazısında saldırı ile ilgili iyi bir yol kat ettiklerini, müşterilerinin ihtiyaçlarını karşılayabilecekleri bir sistemi entegre ettiklerini belitti. Ek olarak şirket, ABD Hükümet'i yetkililerinden gelen raporlara göre yazılımın eşsiz karakter dizilimi sayesinde yazılım güncelleştirmelerine rağmen sisteme sızabildiğini belirtti.

Merck, şu an dünyada 3 binin üzerinde klinik çalışma yürütmekte. Bu çalışmaların önemli bir kısmı da kanser tedavisi üzerine. Saldırıların klinik çalışmalara devam eden hastaların sağlığını tehlikeye atma riski bulunuyor.

Microsoft ise açıklamasında sistemdeki açıklığın giderildiğini ve Windows 10 kullanılırsa virüsler konusunu müşterilerin dert etmemesi gerektiğini belirtti.

Bilgisayarlarda hard diskin boyutuna göre yaklaşık 1 saat süren bir disk kontrol aracı CHKDSK mevcuttur. Yazılım uzmanlarına göre virüs, sahte bir CHKDSK ekranı oluşturup 1 saat boyunca o bilgisayardan sıçrayacağı diğer bilgisayarları belirliyor (bakınız yukarıdaki şekil). Böyle bir ekran görüldüğünde eğer bilgisayarın elektriği kesilirse yayılma durdurulur, veri kaybı sadece tek bilgisayarda olur.