Petya saldırıları hakkında kullanıcılarımıza bilgilendirme

Kısa bir süre önce yaşanan WannaCrypt saldırısının ardından şimdi de fidye yazılım biçiminde gelen Petya isimli zararlı yazılım nedeniyle kötü amaçlı bir saldırı daha yaşıyoruz. Microsoft olarak, hızla harekete geçerek saldırının niteliğini araştırıp analiz ettik. Kötü Amaçlı Yazılımdan Koruma ekibimiz, bu kötü amaçlı yazılımı algılayan ve kullanıcılarımızı buna karşı koruyan imzalar yayınladı.

Araştırmalarımıza göre virüs ilk olarak Ukrayna’daki bir şirketin (M.E.doc) finans uygulamalarını güncelledikleri, Ukrayna ve Rusya’da popüler olan bir hizmet yoluyla gönderildi. Gizliliği aşmayı bir kez başardıktan sonra, fidye yazılım cephaneliğindeki birden çok aracı kullanarak etkilediği ağlarda yayılmaya başladı. Yama yapılmayan yerlerde bu zararlı yazılım, CVE-2017-0144 ve CVE-2017-0145 güvenlik açıklarını kullanarak ağlar arasında yayılıyor.

Microsoft, Mart ayında, Petya’nın yararlandığı açıklara karşı MS17-010 güvenlik güncellemesini yayınladı. Bu tekniğin etkili olmadığı durumlarda söz konusu zararlı yazılım, kimlik bilgilerini toplamak ve diğer makineleri etkileyebilmek için ağlar arasında çapraz geçiş gibi başka yöntemleri kullanmaktadır. (Daha fazla bilgi için Microsoft Kötü Amaçlı Yazılım Koruma Merkezi’nin analizini okuyun.)

MS17-010 güvenlik güncellemesini henüz yüklememiş olan tüm kullanıcılarımıza, en kısa zamanda yüklemelerini öneririz. Güncellemeyi herhangi bir nedenle uygulayamıyorsanız, saldırı yüzeyinizi azaltabilecek bir geçici çözüm uygulamanızı öneririz: Microsoft Knowledge Base Article 2696547’de gösterilen adımları uygulayarak SMBv1’i devre dışı bırakın. Ayrıca, ağınızı bölümlendirme ve hesapları en düşük ayrıcalık düzeyine ayarlama gibi, bu tip kötü amaçlı yazılım saldırılarının etkilerini sınırlandıracak yöntemleri de uygulayabilirsiniz. Windows 10 kullananlar, Device Guard gibi yeteneklerden yararlanarak cihazları kilitleyebilir ve yalnızca güvenilen uygulamalara izin vererek, kötü amaçlı yazılımın çalışmasını etkin olarak engelleyebilirler. Son olarak, bu yeni fidye yazılımın kullandığı davranışları otomatik olarak algılayan Windows Defender Advanced Threat Protection servisimizden de yararlanabilirsiniz.

Son birkaç ay, günümüzün tehdit ortamında siber suçluların saldırılarını farklılaştırmaya devam edeceklerini gösterdi. Buna karşı korunabilmek de, aynı ölçüde tetikte olmayı ve çaba göstermeyi gerektiriyor. Microsoft, siber korsanların kötü amaçlı çabaları ile mücadele etmek için iş ortakları ve müşterilerle birlikte çalışmaya büyük önem veriyor. Bu amaçla araştırmalarımıza ve müşterilerimizi korumak için gereken önlemleri almaya devam edeceğiz.

Diğer kaynaklar:

MMPC blog sayfası: https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Windows 10 Creators güncellemesi ile yeni nesil fidye yazılım koruması: https://blogs.technet.microsoft.com/mmpc/2017/06/08/windows-10-creators-update-hardens-security-with-next-gen-defense/

Microsoft Kötü Amaçlı Yazılım Ansiklopedisinde Petya hakkında blog yazısı: https://www.microsoft.com/en-us/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/Petya