İçindekiler
- NotPetya fidye yazılımı nedir?
- Buna karşı kendinizi kimden koruyorsunuz?
NotPetya fidye yazılımı nedir?
NotPetya (veya Evcil hayvan ambalajı) eski bir sürümünü temel alıyor Petya fidye yazılımıBaşlangıçta dosyaları ve cihazları Bitcoin ödemesi karşılığında rehin tutmak için tasarlanmıştı. Ancak buna rağmen NotPetya'nın para toplama girişimi Hızlı hareket eden küresel saldırısında, kesinlikle para peşindeymiş gibi görünmüyor. Bunun yerine NotPetya, şirketlere zarar vermek için makinelerin dosya sistemlerini şifreliyor. Fidye yazılımı yönü görünüşe göre sadece bir kapak.
Önerilen Videolar
NotPetya'yı tehlikeli yapan şey, fidye yazılımı tabanlı cephenin altında, sonsuzMavi, Amerika Birleşik Devletleri Ulusal Güvenlik İdaresi (diğer adıyla NSA) tarafından tasarlandığı iddia ediliyor. Adı verilen belirli, savunmasız bir ağ protokolünü hedefler. Sunucu Mesaj Bloğu (sürüm 1), ağ bağlantılı Windows tabanlı bilgisayarlar arasında yazıcıları, dosyaları ve seri bağlantı noktalarını paylaşmak için kullanılır. Böylece güvenlik açığı uzaktaki saldırganların hedefe kötü amaçlı kod gönderip yürütmesine olanak tanır. bilgisayar. Shadow Brokers hacker grubu EternalBlue 2017 yılının Nisan ayında sızdırıldı.
NotPetya fidye yazılımı aynı zamanda bir “solucan” bileşeni de içeriyor. Genellikle kurbanlar, e-postaya eklenen meşru bir dosya görünümündeki kötü amaçlı yazılımları indirip çalıştırarak fidye yazılımının kurbanı oluyor. Buna karşılık, kötü amaçlı yazılım belirli dosyaları şifreler ve ekranda bir açılır pencere yayınlayarak bu dosyaların kilidini açmak için Bitcoin cinsinden ödeme talep eder.
Ancak 2016'nın başlarında ortaya çıkan Petya fidye yazılımı, bilgisayarın tüm sabit donanımını şifreleyerek bu saldırıyı bir adım daha ileri götürdü. Ana önyükleme kaydına virüs bulaştırarak Windows önyüklemesini başlatan programın üzerine yazarak sürücüye veya yarıiletken sürücüye sekans. Bu, takip etmek için kullanılan tablonun şifrelenmesiyle sonuçlandı. Tümü Yerel dosyalar (NTFS), Windows'un yerel olarak depolanan herhangi bir şeyi bulmasını engeller.
Petya, tüm diski şifreleme yeteneğine rağmen yalnızca tek bir hedef bilgisayara virüs bulaştırabiliyordu. Ancak görüldüğü gibi son WannaCry salgınıfidye yazılımı artık herhangi bir kullanıcı müdahalesi olmadan yerel ağ üzerinde bilgisayardan bilgisayara geçme yeteneğine sahip. Yeni NotPetya fidye yazılımı, orijinal Petya sürümünün aksine, aynı yan ağ istilasına neden olabiliyor.
Microsoft'a göre NotPetya'nın saldırı vektörlerinden biri, kimlik bilgilerini çalma veya aktif bir oturumu yeniden kullanma yeteneğidir.
“Çünkü kullanıcılar sıklıkla yerel yönetici ayrıcalıklarına sahip hesapları kullanarak giriş yapıyor ve tüm platformlarda açık etkin oturumlara sahipler. Birden fazla makinede çalınan kimlik bilgileri, kullanıcının diğer makinelerde sahip olduğu erişim düzeyinin aynısını sağlama olasılığı yüksektir. makineler” şirket raporları. "Fidye yazılımı geçerli kimlik bilgilerine sahip olduğunda, geçerli bağlantılar kurmak için yerel ağı tarar."
NotPetya fidye yazılımı ayrıca dosya paylaşımlarını kullanarak kendisini yerel ağda çoğaltabilir ve EternalBlue güvenlik açığına karşı yama yapılmamış makinelere bulaşabilir. Microsoft bile bahsediyor EbediRomantizmNSA tarafından uydurulduğu iddia edilen Sunucu Mesaj Bloğu protokolüne karşı kullanılan bir başka istismar.
"Bu, iki kötü amaçlı yazılım bileşeninin bir araya gelerek daha tehlikeli ve dirençli kötü amaçlı yazılımlar oluşturmasının harika bir örneğidir" dedi Ivanti Bilgi Güvenliği Baş Sorumlusu Phil Richards.
NotPetya'nın hızlı ve yaygın saldırısının yanı sıra başka bir sorun daha var: ödeme. Fidye yazılımı, kurbanlardan belirli bir Bitcoin adresi, Bitcoin cüzdan kimliği ve kişisel kurulum numarasını kullanarak 300 dolar değerinde Bitcoin ödemelerini talep eden bir açılır pencere sağlıyor. Kurbanlar bu bilgileri, kilit açma anahtarıyla yanıt veren, sağlanan bir e-posta adresine gönderir. Alman ana e-posta sağlayıcısı Posteo, kötü niyetini keşfettiğinde bu e-posta adresi hızla kapatıldı.
“Fidye yazılımı şantajcılarının şu anda iletişim aracı olarak Posteo adresini kullandığını öğrendik. Kötüye kullanımla mücadele ekibimiz bunu hemen kontrol etti ve hesabı hemen engelledi." şirket dedi. "Platformumuzun kötüye kullanılmasına tolerans göstermiyoruz: Kötüye kullanılan e-posta hesaplarının derhal engellenmesi, bu gibi durumlarda sağlayıcıların gerekli yaklaşımıdır."
Bu, kötü amaçlı yazılımın hedefi ödeme olsa bile herhangi bir ödeme girişiminin asla başarıya ulaşamayacağı anlamına gelir.
Son olarak Microsoft, saldırının MEDoc vergi muhasebesi yazılımının geliştiricisi olan Ukraynalı şirket M.E.Doc'tan kaynaklandığını belirtiyor. Microsoft parmakla işaret etmiyor gibi görünüyor, ancak bunun yerine "birkaç aktif enfeksiyonun" olduğuna dair kanıt bulunduğunu belirtti. Fidye yazılımı başlangıçta meşru MEDoc güncelleme sürecinden başlatıldı.” Microsoft, bu tür bir enfeksiyonun giderek büyüyen bir sorun olduğunu belirtiyor. akım.
Hangi sistemler risk altında?
Şimdilik NotPetya fidye yazılımının kuruluşlardaki Windows tabanlı bilgisayarlara saldırmaya odaklandığı görülüyor. Örneğin Çernobil nükleer santralinde bulunan radyasyon izleme sisteminin tamamı saldırıda çevrimdışı oldu. Burada, ABD'de saldırı Heritage Valley Sağlık Sisteminin tamamını vurduPennsylvania'daki Beaver ve Sewickley hastaneleri de dahil olmak üzere ağa bağlı tüm tesisleri etkiliyor. Ukrayna'daki Kiev Boryspil Havaalanı sıkıntılı uçuş programı gecikmeler yaşandı ve saldırı nedeniyle web sitesi çevrimdışı duruma getirildi.
Ne yazık ki, NotPetya fidye yazılımının hedeflediği Windows'un tam sürümlerini gösteren hiçbir bilgi yok. Microsoft'un güvenlik raporu belirli Windows sürümlerini listelemiyor ancak güvenli olması için müşterilerin şunu varsayması gerekir: Windows XP'den Windows 10'a kadar tüm ticari ve genel Windows sürümlerinin saldırı kapsamına girdiği pencere. Sonuçta hatta WannaCry, Windows XP yüklü makineleri hedef aldı.
Buna karşı kendinizi kimden koruyorsunuz?
Microsoft, bu son kötü amaçlı yazılım salgını tarafından kullanılan EternalBlue ve EternalRomance açıklarını engelleyen güncellemeler zaten yayınladı. Microsoft, 14 Mart 2017'de her ikisine de hitap etti: güvenlik güncelleştirmesi MS17-010. Bu üç aydan fazla bir süre önceydi; bu da NotPetya'nın bu istismar yoluyla saldırdığı şirketlerin henüz güncelleme yapmadığı anlamına geliyor onların bilgisayarları. Microsoft, müşterilerin henüz yüklememişlerse güvenlik güncelleştirmesi MS17-010'u hemen yüklemelerini öneriyor çoktan.
Güvenlik güncellemesini yüklemek bilgisayarınızı korumanın en etkili yoludur
Güvenlik güncellemesini henüz uygulayamayan kuruluşlar için NotPetya fidye yazılımının yayılmasını önleyecek iki yöntem bulunmaktadır: Sunucu İleti Bloğu sürüm 1'i tamamen devre dışı bırakmave/veya yönlendiricide veya güvenlik duvarında, 445 numaralı bağlantı noktasından gelen Sunucu İleti Bloğu trafiğini engelleyen bir kural oluşturmak.
Bir tane daha var enfeksiyonu önlemenin basit yolu. La başlamak Dosya Gezgini'ni açma ve genellikle “C:\Windows” olan Windows dizin klasörünün yüklenmesi. Orada oluşturmanız gerekecek “perfc” adında bir dosya (evet, uzantısız) ve izinlerini “Salt Okunur” (Genel/Öznitelikler aracılığıyla) olarak ayarlayın.
Elbette, Windows dizininde yeni bir dosya oluşturmak için gerçek bir seçenek yoktur, yalnızca Yeni Klasör seçeneği vardır. Bu dosyayı oluşturmanın en iyi yolu Not Defteri'ni açmak ve boş bir "perfc.txt" dosyasını Windows klasörüne kaydetmektir. Bundan sonra, isimdeki “.txt” uzantısını silin, Window’un açılır uyarısını kabul edin ve izinlerini “Salt Okunur” olarak değiştirmek için dosyaya sağ tıklayın.
Böylece, NotPetya bir PC'ye bulaştığında, Windows klasörünü, aslında kendi dosya adlarından biri olan söz konusu dosya için tarayacaktır. Perfc dosyası zaten mevcutsa NotPetya, sisteme zaten virüs bulaştığını varsayar ve hareketsiz hale gelir. Ancak bu sır artık herkese açık olduğundan, bilgisayar korsanları çizim tahtasına geri dönüp NotPetya fidye yazılımını farklı bir dosyaya bağlı olacak şekilde revize edebilir.
Editörlerin Önerileri
- Bu oyun, bilgisayar korsanlarının bilgisayarınıza saldırmasına olanak tanır ve sizin onu oynamanıza bile gerek kalmaz
- Bu Slack ipuçları ve püf noktalarıyla en üretkenliğinizi sergileyin
