Dün Petya saldırısı için henüz bir çözüm geliştirilmediğini yazmıştık [1] ama bugün durum değişti. ABD / Boston’dan bir güvenlik araştırmacısı olan Amit Serper, Petya’yı tamamen durdurmayan, geçici bir çözüm bulduğunu duyurdu. Çözüm Wannacry’daki “kill switch” yerine bir dosya yüklemeyi gerektiriyor.
Saldırı başladığında israil’de ailesiyle birlikte tatilde olduğunu belirten Serper, WannaCry için bulunan “Kill Switch!in çalışmadığını belirtti ve bilgisayarından uzak olduğu için çözümü İngiltere’den “Hacker Fantastic” lakabını kullanan bir başka güvenlik uzmanı ile birlikte oluşturdu.
Assuming that the original name of the dll is perfc.dll then placing a file in c:windows called perfc should make the ransomware not to run https://t.co/0l14uvTpxB
— Amit Serper (@0xAmit) June 27, 2017
Petya bir makineye bulaşırken “perfc.dll” adlı bir klasörü arıyor. Klasörü bulamazsa, bilgisayarı, dosyaları ve sabit sürücünün bir bölümünü kilitliyor. Ama dosyayı buluyorsa, çalışmıyor. Serper çözümü bulduktan sonra popüler hale geldi ama bir yandan da bunun geçici çözüm olduğuna, asıl yamanın geliştirilmesi gerektiğine dikkat çekti;
Thanks for all the kind words. This is a temporary fix, let’s focus on patching, less on thanking me. Thanks again, I’m humbled.
— Amit Serper (@0xAmit) June 27, 2017
Petya, 64 Ülkede 12.500 Bilgisayarı Etkiledi
2 gün evvel saldırıya geçen Petya virüsü önce Ukrayna’da görüldü. Sonra diğer ülkelere yayıldı. Türkiye açısından önemli bir sorun gözükmedi. Güvenlikçiler bunun nedenini, bayram tatili nedeniyle işyerlerinin açık olmamasına bağladılar.
Saldırı yayıldığı ülke sayısı açısından önemli olsa da, etkilediği makina sayısı 12.500 olarak verildi. Bunun önemli bir nedeni kullandığı Microsoft Windows’un “Eternal Blue” isimli açığının mart ayında yamalanmış olmasıydı.
Ancak etkilenen bilgisayar sayısının düşük olmasına karşın, saldırının önemli olarak tanımlanmasının nedeni; Microsoft tarafondan “Software Supply Chain” adıyla tanımlanan bir saldırı cinsi olması. Bu saldırı cinsinde, yazılımların güncelleme zinciri yoluyla bulaşma olması. Microsoft bunun araştırılması gerektiğini belirtirken, 3cü parti güncelleme şirketlerine de dikkat çekiyor.
[1] Yeni Fidye Saldırısı Petya Dünyayı Vurdu; Shadow Brokers’ın Müşterilerini mi Görüyoruz?
Kaynak : 