Petya virüsü, Türkçe fidye yazılım olarak ifade edilen bir ransomware. Sisteme sosyal mühendislik ya da sair zafiyetleri kullanarak sızdıktan sonra, bulaştığı dosyaları şifreliyor. Aslında teknik olarak diğer ransomeware’lerden farklı; zira Petya, sadece dosyaları değil aynı zamanda MBR ve MFT‘yi de şifreliyor. Bu şifreleme yöntemi sayesinde dosyalara erişim tamamen engelleniyor. Dosyaları geri getirmek içinse talep edilen ücretin ödenmesi gerekiyor.
Tespit edilen fidye yazılım, Ukrayna başta olmak üzere şimdiden birçok ülkedeki sistemleri kullanılamaz hale getirmiş durumda. Ukrayna’daki çeşitli kamu kurumlarından, Kiev havaalanı, metro sistemleri, enerji santralleri ve hatta nükleer santrallere kadar geniş bir alanda yayılmış olan virüs, talep edilen ücretin ödenmemesi halinde bu sistemlerin çalışmasını tamamen durdurabilir.
Sistemlerinin etkilendiğini duyuran diğer ülkeler ise İngiltere, Fransa, Rusya, Danimarka, Meksika, İran ve Brezilya. Ancak çok daha fazla ülkenin bu saldırıdan etkilenmesi bekleniyor. Petya fidye yazılımının yeni varyantıyla ilgili en dikkat çekici özellik ise, WikiLeaks tarafından sızdırılan NSA exploit’lerini kullanması. Bu anlamda WannaCry ile aynı özelliklere sahip olan yazılımın, gerekli önlemlerin kısa sürede alınmaması halinde birkaç gün içinde 500.000’den fazla bilgisayarı etkileyeceği tahmin ediliyor. Tıpkı WannaCry gibi Windows SMBv1 güvenlik açığı sayesinde hızla yayılan zararlı, NSA’in ShadowBrokers hacking grubu tarafından ifşa edilen exploit’lerinden olan EternalBlue’yu kullanıyor. Daha sonra da WMIC ve PSEXEC kullanarak, ağda hızlı bir şekilde yayılabiliyor. Petyanın yeni varyantı, aslında diğer fidye yazılımlarda olduğu gibi aynı zamanda spam e-posta aracılığıyla da yayılıyor.
Petya fidye yazılımı, VirusTotal tarafından yapılan analize göre, piyasada bulunan 61 antivirüs uygulamasının 40’ı tarafından yakalanabiliyor. Yakın bir zaman içinde diğer antivirüslerin de Petya’yı yakalaması bekleniyor.
Petya ransonware, sisteme sızdıktan sonra, sistemdeki dosyaları şifreliyor ve işlem tamamlandıktan sonra ekrana bir uyarı mesajı çıkarıyor. Bu mesajda ise yaklaşık 300 usd ödenmesi halinde şifrelenen dosyaların geri getirileceği belirtiliyor. Talep edilen ücret, belirtilen süre içinde ödenmezse, dosyalara veda ediliyor.
Petya dosyalarınızı nasıl şifreliyor?
Petya iki farklı modülden oluşuyor. İlk modül, klasik fidye yazılımlarında olduğu gibi dosyaların ilk 1 MB’lık bölümünü şifreliyor. Şifrelenen dosya uzantıları şu şekilde:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Dosyaların şifrelenmesi için 128 bit AES algoritmasını kullanan yazılım, daha sonra bu anahtarı da RSA açık anahtarı ile şifreliyor. İkinci modül ise Petya fidye yazılım ailesinden yadigar. İşletim sisteminin Master Boot Record (MBR) bölümüne yerleşen yazılım, sistemin her boot edilişinde otomatik olarak çalışmasını sağlıyor. Gerekli izinlere de sahip olduktan sonra yazılım, Master File Table’ı tespit ettikten sonra Salsa20 stream ile şifreliyor. Master File Table, NTFS dosya sisteminin veri yapısını tutan bir veri tablosu. Her dosyanın, disk üzerinde nerede bulunduğu bilgisini içeren Master File Table sayesinde Petya, her dosyanın nerede olduğunu takip ediyor.
