Petya petrWrap Ransomware

Petya petrWrap Ransomware

Ukrayna'da başlayan kapsamlı siber saldırıların dünya çapında birçok şirkete yayıldığı bildiriliyor. Fidye yazılım kullanılarak siber saldırılar düzenlendiği bildirilen ülkeler arasında Rusya, ABD, İngiltere, Hollanda, Hindistan ve ve Norveç de var.

 

Son saldırılardan ekilendiğini açıklayan diğer şirketler arasında ise Rus petrol üreticisi Rosneft ve Danimarkalı taşımacılık şirketi Maersk de bulunuyor. Ayrıca Ukrposhta, Boryspil International Airport in Kiev,Maersk, Kyivenergo, Kiev power company,Radiation monitoring system at Chernobyl,Ukrainian bank Oschadbank,Ukrainian delivery service company Nova Poshta, Spanish global legal firm DLA Piper firmaları da etkinlenen firmalar arasında..

 

Bilgisayar kullanıcısının yetki vermesinin ardından Petya önce kendini ana önyükleme kaydına yazıyor ardından mavi ekran verip bilgisayarı resetliyor. Yayılmak için WannaCry tarafından ağa sızmak için kullanılan SMB (EternalBlue) açığını ve ardından ağda yayılmak için PsExec kullanıyor gibi görünüyor. Bu tehlikeli kombinasyon, önceki saldırılar sonucunda çoğu açığın kapatılmış olmasına rağmen salgının hızla küresel olarak yayılmasınına neden oluyor. Ağa sızabilmesi için tek bir yama yüklenmemiş, açıkları mevcut bilgisayar yeterli oluyor. Daha sonra zararlı yazılım, yönetici haklarını alabilir ve diğer bilgisayarlara yayılabilir.

 

Alınacak Önlemler:

 

-Ağınızdaki Windows işletim sistemlerinde MS17-010 yamasının geçildiğinden emin olun (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ) 
-Cihazlarınızın ve WAN tarafında eğer açıksa UDP port 137 ve 138, TCP port 139 ve 445'i kapatın.
-Yedekleme politikanızı yeniden gözden geçirin ve baskın veri çekimlerini planlayın.
-Kullanıcıların yerel yönetici hesaplarını alarak normal kullanıcı olarak çalıştırtın.
-Local admin şifrenizi basit ise değiştirin ve her cihazda sabit olmadığından emin olun.
-CVE-2017-0199 Ofis RCE yamasını yapınız.(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199)
-Kaynağından emin olmadığınız ve sizle alakası bile olmayan konulardaki e-postaları açmayın.
-Kullanıcılara konu ile alakalı bilgilendirme mailleri atınız.
-GPO kullanarak SMB ve WMI protokollerini bloklayın.
-cmd /k shutdown -a ile cihazı kapatma özelliğini devre dışı bırakın.
-appdata ve temp dizinde executable dosya çalıştırtmayı engelleyin. 
-Order-20062017.doc, myguy.xls, BCA9D6.exe, myguy.xls.hta dosyaları için uyanık olunuz.
-141.115.108, 165.29.78, 200.16.242 ve 90.139.247 ip blokları ile haberleşen cihazları isole edin.

 

Uyarı:

 

Zararlı yazılım geliştiricisi ödemeleri wowsmithxxxx@posteo.net  e-posta hesabı kullanarak bitcoin üzerinden toplamaktadır. Saldırıda kullanılan e-postanın sağlayıcısı Posteo, Petya zararlısını yayan e-posta hesabını kapattığını açıkladı. Dosyalarınızı geri almak için tüm iletişim yolları kapalı, bu durumdan dolayı fidye ödememenizi tavsiye ediyoruz.

 

Kaynak: http://www.egebilgiguvenligi.com/2017/06/petya-goldeneye-nonpetya-notpetya.html



"Petya petrWrap Ransomware" Hakkında Kafanıza Takılanı Hemen Sorun

Çağrı Polat

Şu anda DEU Bilgisayar Mühendisliğinde Doktora yapmaktadır. " Kalıcı Gelişmiş Saldırılar ve Siber Güvenlik" üzerinde çalışmaktadır.


Bilgisayar Yüksek Mühendisidir. Ayrıca, Elektrik-Elektronik mühendisi ve İşletme bölümlerini bitirmiştir. Yüksek lisans tez konusu "kurumsal ağlarda sızma testleri ve önlemleri" idi.Akademik olarak da bilgi güvenliği üzerine çalışmaktadır.



Kariyerinin ilk yıllarında bilgi işlem sorumluluğu, sistem destek uzmanlığı yaptıktan sonra, IT manager, IT koordinator ve son 3 yılda da kurumsal firmalara bilgi güvenliği danışmanlığı yapmaktadır Yaklaşık 12 yıllık tecrübeye sahibidir.


9 uluslararası sınavda alınmış Microsoft sistem mühendisliği güvenlik sertifikasıyla birlikte, EC Council' den eğitim alarak CEH v9 sertifikasını almıştır. MCSE, CEH ve bilgi güvenliği başlıklarında bireysel ve kurumsal eğitimler ve seminerler vermektedir.


ISO27001:2013 BGYS konusunda baş denetçilik, eğitmenlik ve danışmanlık yapmaktadır. Ayrıca Bilirkişilik ve Kamulaştırma Bilirkişilik yetkilendirme belgesi sahibidir. Hukuk firmaları ile beraber KVKK teknik uyum danışmanlığı yapmaktadır.


Ayrıca İzmir ve Ege Bölgesinde "Bilgi Güvenliği", "Siber Güvenlik" ve "Kişisel Bilgi Güvenliği" vb. başlıklarında Üniversiteler, Belediyeler, Meslek Odaları, baro, STK ve kamu kurumlarına özel farkındalığı artırmak amacı ile ücretsiz seminerler ve eğitimler vermekte, etkinlik ve çalışmalar yapmaktadır. 16 ay gibi bir sürede 60 civarı etkinliğe çıkmıştır.


Detaylar için: http://www.cagripolat.com