28.06.2017 13:30 UITSEC-CERT PETYA RANSOMWARE TEKNİK DETAYLARI BİLGİNİZE SUNULMUŞTUR. Version:2.0 Bu rapor Uluslararası Siber Güvenlik Federasyonu (USGF) için UITSEC tarafından hazırlanmıştır.
Zararlı dosyanın; SHA256 Hash değeri: 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7 d3a745 MD5 Hash değeri: da2b0b17905e8afae0eaca35e831be9e Dosya boyutu: 353.9 KB Yayılmaya başlama tarihi: 27.06.2017 Bazı antivirüs firmalarının isimlendirmeleri; Trojan.Ransom.GoldenEye.B Trojan.Ransom.Petya Win32/Diskcoder.C Hedef alınan sistem: Intel 386 ve sonraki işlemcileri kullanan Windows işletim sistemleri Dosya uzantısı: DLL(Win32 DLL) İncelenen dosyanın derleme tarihi: 18.06.2017 Kullandığı(Import) DLL dosyaları:
Teknik İnceleme petya.dll olarak sistemde bulunan dosya rundll32 olarak başlatıldığında cmd üstünden çalışmaya başlamaktadır. Resim 1: Process listesi İnternet üstünden bağlantılar gerçekleştirmeye çalıştığı sırada planlanmış görevlere yeniden başlat görevini eklemesi de dikkat çekmektedir. Resim 2: 3. Satırda eklenen zamanlanmış görev, sistemi yeniden başlatmak için kullanılmaktadır. Görev zamanlayıcısında yeniden başlatmak adına oluşturulan görev görülebilmektedir. Resim 3: Program çalışmaya başladıktan tam 1 saat sonrasına oluşturulmuş görev Resim 4
Resim 5: shutdown.exe programı /r (restart) ve /f (forced) parametreleri ile planlanmış Zararlı yazılımın string değerlerine bakıldığında şifrelenmemiş, açık olarak görülebilecek ibareler; Resim 6-7
Resim 8: String taramasında şifrelenecek uzantılar dahil olmak üzere bilgilere ulaşılabiliyor String incelemesi sırasında Windows sistem, güvenlik, event ve uygulama loglarının silinmesi ile ilgili bilgilere de ulaşılabiliyor.
Resim 9 Sisteme petya yazılımından önce müdahale edilirse ve sistem yeniden başlatılırsa sistem kullanıcısının karşısına Windows un chkdisk ekranı geliyor ve diskin kontrol edildiği/hataların düzeltildiği gibi bilgiler paylaşılıyor. Bu ekran petya zararlı yazılımının diskteki verileri şifrelediği ve bu süreci yönettiği bir ekran olarak karşımıza çıkıyor. Resim 10 Petya zararlı yazılımının sistem kullanıcısına gösterdiği bu ekran kapanıp sistem yeniden başladığında ise sistemdeki verilerin şifrelendiğini gösteren başka bir ekran yansımakta ve bu ekran, istenilen fidye verilene kadar açılmamaktadır. Resim 11 IDA üstünde yapılan incelemede programın RSA-AES ile yaptığı şifreleme metodu ve şifrelediği dosya uzantıları açık bir şekilde görülmektedir.
Resim 12: Şifrelenen dosya türleri Zararlı Yazılımın Öncesi Resim 13: RSA ve AES kullanımı Orjinal Petya zararlı yazılımı ilk olarak Mart 2016 da keşfedildi. Petya bulaşmadan önce idari erişim yetkisi gerekmektedir. Sistem yönetici erişimine sahip değilse, sisteme enfekte olmaz. İlk yayılımın ardından Petya, Mayıs 2016 da Mischa zararlı yazılımını içerecek şekilde değiştirildi. Petya nın MBR erişimi olmadığında, Mischa yı sistemde bırakacaktı. Aralık 2016 da GoldenEye, Mischa ve Petya bir araya getirildi. Bu birleşme sonrasında zararlı yazılım, mümkün olduğunca çok fazla dosyayı ve MBR yi şifreleyebilen bir yazılım haline getirildi. Düzenlenen küresel saldırı nedeniyle, bir yıldan uzun süredir devam eden Petya ürün yazılımının bir varyantı sorumlu tutuldu. Petya, virüsün bilgisayarın sabit diskini ve bunun üzerinde depolanan tek tek dosyaları kilitleyen bir formudur. Programın bu yılın başlarında yüz binlerce bilgisayarı etkileyen WannaCry saldırısına benzer bir şekilde yayılmış olabileceğini söyledi. WannaCry gibi Petya, Ulusal Güvenlik Ajansı tarafından yaratılan ve Microsoft'un yazılımındaki bir sorunu kullanan Shadow Brokers tarafından çevrimiçi olarak sızdırılan Eternal Blue'ı da kullandığı düşünülmektedir. Zararlı Yazılım Nasıl Kaldırılır? 1. Adım Temel Windows fonksiyonlarını geri yükleme Petya zararlı yazılımını bilgisayarınızdan kaldırmadan önce, virüsün bulaştığı noktaya erişmeniz gerekmektedir. Petya, Windows un önyüklemesini önlediğinden, ilk işiniz Ana Önyükleme Kayıtlarını (MBR) onarmaktır. Bunu yapabilmek için orijinal Windows OS DVD sine (ileri düzey kullanıcıların USB önyüklenebilir bir sürücüye) DVD'yi (veya USB'yi) bilgisayara takın, ardından bilgisayarı çalıştırın ve işletim sistemini DVD / USB'den önyüklemeyi seçin. Bios'tan Windows önyükleme önceliğini değiştirmek için Del tuşuna basmanız gerekebilir. Windows, DVD / USB'den önyükleme yaparken Windows Onarım'ı seçin
Komut İstemi'ni açın ve aşağıdaki komutları yazın: enter: bootrec / fixmbr, bootrec / fixboot ve bootrec / rebuildbcd Windows işletim sisteminiz normal bir şekilde önyüklenebilir. 2. Adım Yapmanız gereken ilk şey, Tüm Gizli Dosya ve Klasörleri Reveal etmektir. Bu adımı atlamamanız gerekmektedir. Petya, dosyalarından bazılarını gizleyebilmektedir. Start tuşu ve R basın sonrasında alttaki satırı kopyala+yapıştıp Enter a basın; notepad %windir%/system32/drivers/etc/hosts Açılan dosya da Virüs yaratıcısının IP leri göreceksiniz. Msconfig yazın ve Enter a basın yeni bir sayfa açılacaktır. Başlangıç sayfasına gidin ve Unknown üreticisi olan uygulamaların işaretlemesini kaldırın.
3. Adım Aynı anda CTRL + SHIFT + ESC tuşlarına basın. Süreçler Sekmesine gidin. Hangilerinin virüs olduğunu belirlemeye çalışın. Virüs işlemlerinin her birine sağ tıklayın ve Dosya Konumunu Aç'ı seçin. Dosyayı açtıktan sonra işlemi sonlandırın, sonra gönderdiğiniz dizinleri silin. 4. Adım Windows arama alanına Regedit yazın ve Enter tuşuna basın. İçeri girdikten sonra CTRL ve F tuşlarına birlikte basın ve virüsün Adını yazın. Kayıtlarınız içerisinde zararlı yazılımı arayın ve yazılıma ait girdileri silin. Dikkatli olun zararlı yazılım harici girdileri silerseniz sistemlerinize kritik zararlar verebilirsiniz. Windows Arama Alanında aşağıdakilerin her birini yazın; %AppData% %LocalAppData% %ProgramData% %WinDir% %Temp% Temp'deki her şeyi silin. Şifrelenen Dosyalar Nasıl Kurtarılır? Bu virüsü kaldırmanın bilinen tek yolu bulunmaktadır. Dosyalarınızı virüsün bulaşmadığı zamana geri döndürmek. Şuana kadar bu yöntem haricinde geliştirilen başka bir yöntem ya da patch bulunmamaktadır. Tam sistem geri yükleme işlemi yapılmalıdır. Bunu yapmak için, Windows arama alanına Sistem Geri Yükleme yazın ve bir geri yükleme noktası seçin. Tamamlanıncaya kadar İleri'yi tıklayın. Önlemler Yapılan incelemeler sonucunda dünyanın çeşitli yerlerinden gelen killswitch (kapatma düğmesi) haberlerinin hepsi başarısızlıkla sonuçlanıyor. Zararlı yazılımın bilgisayara bulaşmaması aşamasında uygulanabilecek yöntemler; Microsoft tarafından yayınlanan son güncellemelerin yüklenmesi ve gelen e-maillerin filtrelenmesi/kimden geldiği belli olmayan e-maillerin, özellikle Microsoft Office dökümanı içeren e-maillerin açılmaması yönünde önlemler alınabilir. İnceleme sırasında karşılaşılan şüpheli IP listesi, kullanılan firewall üstünden engellense de zararlı yazılımın görevini yerine getirmesi aşamasında etki yaratmayacaktır.
Şüpheli IP adresleri; 185.165.29.78 84.200.16.242 111.90.139.247 95.141.115.108