Petya Varyantı Zararlı Yazılım

Petya Varyantı Zararlı Yazılım

Yeni bir fidye yazılımı kampanyası kapsamında, Petya olarak isimlendirilmiş fidye yazılımının değiştirilmiş bir sürümü hakkında bildirim.

Yeni bir fidye yazılımı kampanyası kapsamında, Petya olarak isimlendirilmiş fidye yazılımının değiştirilmiş bir sürümünün yayılmaya başladığı tespit edilmiştir. Zararlının RDP/SMB protokolleri üzerinden yayıldığı gözlemlenmiş olup, şifreleme süresince aşağıda örneği verilen bir mesajı kullanıcıya göstermektedir:

Repairing file system on C:

The type of the file system is NTFS. One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete.

WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN! CHKDSK is repairing sector xxxxx of xxxxxxxx (x%)

Şifreleme işlemi bittikten sonra zararlı kullanıcıyı yeniden başlatmaya yönlendirmekte, yeniden başlatma sonrasında ise ekranda bir fidye talep mesajı göstermektedir.

Microsoft

• MS17-010 yamasının geçilmesi,
• Group Policy Object üzerinden ADMIN$ paylaşımının durdurulması Adımlarının zararlının lateral olarak yayılmasını yavaşlatacağı değerlendirilmektedir.

Güvenlik ürünleri üzerinde alınması gereken bilinen önlemler aşağıdadır:

McAfee ePolicy Orchestrator

1. McAfee sayfasının alt kısmında bulunan EXTRA.zip dosyası indirilir. Bu sayfa düzenli olarak güncelleniyor olup, periyodik olarak güncellemeler için takip edilmesi, ve her yeni EXTRA.zip güncellemesi için burada anlatılan adımların 11. adıma kadar tekrarlanması gerekir.
2. Dosya ayıklanarak içinde bulunan EXTRA.DAT dosyası çıkarılır.
3. ePolicy Orchestrator’a login olunur.
4. Sol üstte bulunan menu düğmesine basılır.
5. Menüden Software altında bulunan Master Repository seçilir.
6. Açılan ekranda Checkin Package düğmesine basılır.
7. Package Type olarak Extra DAT seçilir.
8. Dosya Seç düğmesine basılarak yukarıda ayıklanan EXTRA.DAT dosyası seçilir ve sağ alttaki Next düğmesine basılır.
9. Açılan ekranda sağ alttaki save düğmesine basılır.
10. İşlem başarı ile tamamlandığında Master Repository’de bir kayıt görülmelidir.
11. Menü’den Policy altında bulunan Client Task Catalog’a tıklanır.
12. Solda açılan ağaçtan McAfee Agent altında bulunan Product Update seçilir.
13. New Task düğmesine basılıp açılan ekrandaki açılır menüde Product Update seçeneğinin seçili olduğundan emin olunduktan sonra OK düğmesine basılır.
14. Task Name olarak Petya Emergency EXTRA DAT Update verilir.
15. Package Selection kısmında Selected packages seçilir.
16. Package Types kısmında sadece ExtraDAT (M2;M3;PRID5;M23;M4;M17;MA2;Ransomware-GCC) seçilir.
17. Sağ altta bulunan Save düğmesine basılır.
18. Açılan ekranda Petya Emergency EXTRA DAT Update görevinin sağ tarafında, Actions sutununda bulunan Assign bağıntısına basılır.
19. Açılan ekranda My Organisation seçilip sağ altta bulunan OK düğmesine basılır.
20. Açılan ekranda Next düğmesine basılır.
21. Schedule Type olarak Daily seçilir.
22. Start time olarak Run at that time, and then repeat until: seçilir ve altta bulunan saat değerleri 11, 59, AM seçilir.
23. Sağ tarafta bulunan During repeat, start task every: kısmında 1, hour(s) seçilip sağ alttaki Next düğmesine basılır.
24. Açılan ekranda Save düğmesine basılır.

McAfee IPS / McAfee Network Security Manager

(UDS’in kontrollü bir şekilde geçilmesini önermekteyiz.)

1. NSM’e login olunur.
2. Dashboard’da Manager Summary monitöründen imza versiyonunun güncel olduğu teyit edilir.
3. Policy - Policy Types - IPS Policies açılır ve sol altta bulunan Custom Attacks düğmesine basılır.
4. Açılan ekranda sol altta bulunan Other Actions menüsü açılır ve Import’a basılır. Gelen ekranda Browse’a basılarak indirilen zip formatındaki dosya seçilir. Protection Category olarak Malware/worm seçilir ve Import’a basılır.
5. Import’a basıldıktan ve işlem tamamlandıktan sonra imzanın eklendiği teyit edilir.
6. Policy - Policy Types - IPS Policies’e tıklanır. Akif kullanılan politikaların Master Attack Repository’ler not edilir.(En sağda, Assignments sutununda bulunan rakam sıfırdan farklı ise politika aktif olarak kullanılmaktadır)
7. Policy - Objects - Attack Set Profiles’a tıklanır. Açılan ekranda bir önceki adımda not alınan Attack Setler sıra ile çift tıklanarak düzenlenir.
8. Açılan ekranda sol altta bulunan düğmelerin soldan üçüncüsüne tıklanır. Sayfanın yanında Details sekmesi açılacaktır. Match Specific Attacks Only tiki işaretlenir. Specific Attacks kısmına UDS-HTTP: Microsoft Office OLE Arbitrary Code yazılır. İmza çıkacaktır. Tıklanır, ve Add’e basılır. Akabine OK’e, sonra Save’e basılır.
9. İşlem düzgün tamamlanırsa aşağıdaki gibi bir ekran karşınıza gelecektir.
10. Sekizinci ve dokuzuncu maddelerin aktif kullanılan bütün politikaların bütün attack setlerinde yapıldığı teyit ve kontrol edilir.
11. Manager - Troubleshooting - Manager Policy Cache’e tıklanır. Açılan ekranda Clear Caches’e basılır.
12. Devices - Deploy Pending Changes’a tıklanır. Deploy’a basılır. Status kısmında yeşil renkte Complete yazısı görüldüğünde işlem tamamlanmış demektir.

McAfee Email Gateway

1. McAfee sayfasının alt kısmında bulunan EXTRA.zip dosyası indirilir. Bu sayfa düzenli olarak güncelleniyor olup, periyodik olarak güncellemeler için takip edilmesi, ve her yeni EXTRA.zip güncellemesi için burada anlatılan adımların 11. adıma kadar tekrarlanması gerekir.
2. MEG’e login olunur. System à Component Management à Update Status açılır. Sol altta bulunan Install Extra DAT düğmesine basılır.
3. Açılan ekranda Dosya Seç düğmesine basılır. İndirilen extra DAT seçildikten sonra OK düğmesine basılır. İşlemin bitmesi beklenir.
4. İşlem bittikten sonra Mcafee Anti-Virus Exta DAT kısmının dolduğu görülecektir.