28 Haziran 2017'de, "Ebedi Mavi" fidye yazılımı virüsünün bulanıklığı tamamen ortadan kalkmadığında, "Petya" adlı en yeni fidye yazılımı bir kez daha dünyayı kasıp kavurdu. Şu anda, Ukrayna Başkent Uluslararası Havaalanı, Ukrayna Ulusal Tasarruf Bankası, nakliye şirketi, Rosneft ve Ukrayna'daki bazı ticari bankaların yanı sıra bazı özel şirketler, perakende şirketleri ve hükümet sistemleri de dahil olmak üzere saldırıya uğradı. Şu anda etkilenen ülkeler İngiltere, Ukrayna, Hindistan, Hollanda, İspanya, Danimarka vb. Yükselen Anti-Virüs İzleme Ağının izlenmesine göre Çin'de kullanıcılar da saldırıya uğruyor.
Yükselen tehdit istihbaratı veri platformuna göre, Petya fidye yazılımına şu anda Pekin, Şangay, Gansu, Jiangsu ve diğer yerlerde küçük bir miktar bulaşmış durumda. 36 kişi şimdiden fidyeyi ödedi.
Şekil: Fidye yazılımı adresleri ve fidye dağıtan kişi sayısı
Bu olayın analizine göre, Rising güvenlik uzmanları, Petya fidye yazılımının (CVE-2017-0199) RTF güvenlik açığını kimlik avı saldırıları gerçekleştirmek için kullandığını ve EternalBlue ve EternalRomance güvenlik açıkları aracılığıyla yanal olarak yayıldığını buldu. , Virüs, sistemin MBR önyükleme sektörünü değiştirecektir Bilgisayar yeniden başladığında, virüs kodu, Windows işletim sisteminden önce bilgisayarı devralacak ve şifreleme gibi kötü niyetli işlemleri gerçekleştirecektir. Şifreleme tamamlandığında, virüs kurbandan şifre çözme anahtarını iade etmeden önce 300 $ değerinde bitcoin ödemesini isteyecektir.
Şu anda, Rising'in tüm kurumsal düzeydeki ürünleri ve kişisel düzeydeki ürünleri virüsü durdurabilir ve öldürebilir. Rising kullanıcılarının çoğunun Rising ürünlerini en son sürüme güncelleyeceğini umuyoruz.
Virustotal web sitesi Petya fidye yazılımını tarar, Rising ve diğer anti-virüs yazılımları ekran görüntülerini başarıyla kontrol eder ve sonlandırır
Yükselen koruma tavsiyesi
1. İşletim sistemi yamasını (MS) güncelleyin
(Lütfen bağlantıyı dürtün)
2. Microsoft Office / WordPad uzaktan kod yürütme güvenlik açığı (CVE-2017-0199) düzeltme ekini güncelleyin
(Lütfen bağlantıyı dürtün)
3. WMI hizmetini devre dışı bırakın
(Lütfen bağlantıyı dürtün)
4. Anti-virüs yazılımını kurun ve aktif savunmayı etkinleştirin.
5. Tanımadığınız e-postaların eklerine tıklamayın.
Virüsün detaylı analizi
Arka plan tanıtımı
Yeni fidye yazılımı petya birçok ülkeye saldırdı ve EternalBlue ve EternalRomance boşluklarından yayıldı. WannaCry ile karşılaştırıldığında, virüs NTFS bölümlerini şifreler, MBR'nin üzerine yazar, makinenin normal şekilde başlamasını önler, bilgisayarı kullanılamaz hale getirir ve daha ciddi bir etkiye sahiptir.
Şifreleme sırasında disk onarımı gizlenecek:
Şekil: Şifreleme sırasında gizleyin
Şifrelemeden sonra, aşağıdaki fidye yazılımı arayüzü görüntülenecektir:
Şekil: Şantaj bilgileri
Detaylı analiz
Saldırı süreci:
Şekil: Saldırı süreci
Şifreleme:
Şekil: Şifrelenmiş Disk
Şifreleme, başlangıçtan sonra gerçekleştirilecek
Şekil: Makineyi yeniden başlatın
Şifrelenmiş dosya türü
Şekil: Şifrelenmiş dosya türü
Yayılma modu:
Virüs, intranete yatay olarak nüfuz etmek için EternalBlue (sonsuz mavi) ve EternalRomance (sonsuz romantizm) güvenlik açıklarını kullanarak hedefli saldırıları gerçekleştirmek için temel olarak posta zehirlenmesi yoluyla çeşitli enfeksiyon yöntemleri kullanır.
Şekil: Sömürü
Şekil: LAN yayılımı
Şantaj bilgileri:
Yazar e-postası ve Bitcoin cüzdan adresi
Resim: Yazarın e-posta adresi ve cüzdan adresi
Şifreli şantaj mektubu
Resim: Şantaj Mektubu
Yazarın Bitcoin cüzdanının işlem kayıtlarını kontrol ederek, bir kurbanın yazara Bitcoin ödediği tespit edildi.
Resim: Bitcoin cüzdan