Petya Nedir ? Sistemlere Nasıl zarar verir? 

“TheShadowBrokers” isimli hacker grubu tarafından Nisan ayında sızdırılan  NSA’in zafiyet kiti EternalBlue bilgisayar sistemlerinin başına bela olmaya devam ediyor!

Wanna Cry ‘ı daha unutamamışken Petya isimli yeni bir fidyecilik zararlı yazılımı karşımıza çıktı. Yapılan siber saldırı küresel olarak birçok kurumu tehdit etmeye ve büyük zararlara yol açmaya başladı.

“EternalBlue” Windows işletim sistemlerindeki SMB servisinin zafiyetini kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlamaktadır.

Bu zafiyet 27 Haziran 2017 itibariyle  Petya(Win32/Diskcoder.Petya.C) adlı bir fidye yazılımı tarafından kullanılmaya başlandı. Bu fidye yazılımı herhangi bir kullanıcı etkileşimi gerektirmeksizin bulaştığı ağda aynı kullanıcı adı ve parola bilgisini kullanan sistemleri tarayarak bulmakta ve tespit ettiği sistemleri de etkilemektedir.

Petya zararlı yazılımının ilk olarak Ukrayna ‘da kullanılan “ME Doc” isimli bir muhasebe programının güncelleme dosyaları ile yayıldığı tespit edildi.

 

                              -Petya İnfeksiyon Diyagramı-

 

TrendMicro tarafından Petya ile ilgili yayınlanan yukarıdaki diyagrama biraz göz gezdirelim.

Kısaca özetlersek Petya saldırı yapılmak istenen kişi/kurumlara gönderilen CV, iş teklifi, yanıltıcı veya ilgi çekici e-postalar ile dosyayı açması sağlanıyor. Dosya açıldığı andan itibaren Petya virüsü aktifleşiyor ve sabit diskte yer alan tüm verileri şifreliyor.

Petya varyantının hem EternalBlue açığını hem de PsExec aracını enfeksiyonu yaymak için kullandığı biliniyor.

İçeriye sızdıktan sonra Petya varyantı kendisini çalıştırmak için rundll32.exe işlemini kullanır. Gerçek şifreleme daha sonra Windows klasöründe bulunan perfc.dat adlı bir dosya tarafından gerçekleştiriyor.

Bu fidye yazılımı, daha sonra sistemin 45dk-1 saat arası bir süre içersinde yeniden başlatılması için zamanlanmış bir görev ekliyor. Zararlı yazılım sistemde yönetici yetkisine ulaşıyor ve başarılı olduğunda da, bilgisayarın diskinin açılış kaydının (MBR) üzerine yazıyor.

Bilgisayar yeniden başladığında başlangıçta sahte bir CHKDSK uyarısı görüntülenir; ve hard diskteki diğer datalar şifrelenmeye başlar.

Ve Süpriz 🙂 

Güvenlik şirketi Sophos Petya’dan etkilenmemek için alınması gereken önlemleri şu şekilde sıralamış.

• Sisteminizde tüm güncel yamaların, özellikle de Microsoft MS17-010 yamasının kurulu olduğundan emin olun.
• Kullanıcılarınızın bilgisayarlarında Microsoft PsExec aracının çalışmasını önleyin. Bu araç mevcut Petya varyantının yayılmak için kullandığı tekniklerde önemli bir görev üstlenmektedir. Bunu Sophos Endpoint Protection veya diğer güvenlik çözümleri yardımıyla yapabilirsiniz.
• Düzenli yedek alın ve güncel bir yedeğinizi çalışma alanınızın dışında tutun.
• Tanımadığınız kişilerden gelen e-posta eklerini açmayın. İnsan kaynakları gibi sürekli e-posta ekleriyle çalışmanız gereken bir pozisyonda olsanız bile dikkatli olun.

 

Bir sonraki yazımda atıl bir sistemde Sophos Enpoint Protection kurup Petya virüsünü test edeceğim.

Görüşmek üzere…

Kaynaklar

http://blog.trendmicro.com/

https://www.sophos.com/

 

Herkese Merhaba,

Hizmet verdiğim birçok firmada kullandığım, yönetiminden ve koruma performansından memnun kaldığım, defalarca Crypto Locker içerikli mailleri etkisiz hale getirdiğini gördüğüm Trend Micro Worry-Free ürünü hakkında birkaç makale yazarak deneyimlerimi sizlerle paylaşmak istiyorum.

İlk olarak Worry-Free ürününün sürümlerine göre özelliklerini karşılaştıralım.

 

Bu tabloda en ayırt edici özellik Security Standart ve Advanced sürümlerinin yönetimi için bir sunucuya ihtiyaç duyulurken Security Services sürümü için sunucu ihtiyacı yoktur. Web tabanlı bir yönetim paneli mevcuttur.

Advanced sürümünde sunucu ihtiyacı olması bir dezavantaj gibi gözükse de sadece bu sürümde olan istenmeyen e-posta koruması ve içerik filtrelemesi özellikleri gözardı edilmemeli. Ayrıca Advanced sürümü MS Exchange ve Office 365 için ek koruma sağlamaktadır.

Yazılarımızda ağırlıklı olarak Web üzerinden yönetilen Security Services sürümünü inceleyeceğiz.

Nedir bu Worry-Free Business Security Services ?

Tümleşik bir çözüm olan WFBS-Services, son nokta içinde bulunan tüm Security Agent’ları yöneten bir WFBS-Services Server’dan oluşur.

Security Agent‘lar, yüklenmiş oldukları sunucuya rapor verir. Tehdit algılama, Security Agent başlangıcı, Security Agent kapanışı, tarama başlangıcı ve bir sunucuya yapılan güncellemenin gerçek zamanda tamamlanması gibi olay bilgilerini gönderir.

Security Agent ayarlarını sunucudan denetleyebilir ve kullanıcılara belirli ayarları yapılandırma ayrıcalığı vermeyi seçebilirsiniz.

WFBS Services’ in diğer bileşenlerinden de biraz bahsedelim;

• SmartScan Sunucusu: Kalıp dosyaları kullanıp istemcileri taramaya olanak sağlayarak istemcinin toplam yükünü azaltır.
• Android Güvenlik Aracısı: Android aygıtlara yüklenen ve aygıtı güvenli olmayan web sitelerinden, zararlı uygulamalardan koruyarak hırsızlığa karşı özellikler sağlayan küçük bir uygulamadır.
• iOS için Güvenlik Profili: iOS aygıtlara yüklenen ve hırsızlıktan koruma özellikleri sağlayan bir profil.

Av-test.org sitesinde Nisan ayı için tanınmış antivirüs yazılımlarının karşılaştırmasını yaptım, sonuç şu şekilde. Daha detaylı incelemek için aşağıdaki linki kullanabilirsiniz.  https://www.av-test.org/en/compare-manufacturer-results

Bir sonraki makalemizde WFBS Services ‘in koruma özellikleri hakkında bilgi vermeye çalışacağım.

---

Görüşmek üzere.

 

 

Galaxy Note 5’de 5 Dakikalık 4K Kayıt Limiti

Eğer Galaxy Note 5 kullanıyorsanız ve video çekmek istiyorsanız; 4K videoları 5 dakikaya kadar kaydedebilir ve bundan sonra kaydı tekrar başlatmanız gerekecektir. Bu, Samsung’un bir sınırlamasıdır ve kamera ayarında bu süreyi artırmak için herhangi bir seçenek olmadığından, sınırlamayı kaldırma imkansız görünüyor. Ancak, artık bu sınırlamayı kaldırabilir ve depolama alanınız bitene kadar Note 5’e 4K videolar kaydedebilirsiniz.

Not: Samsung’un bu süre sınırlamasını ısınmayı önlemek için yaptığını ve  özel modların garanti geçerliliği için sorun yaratabileceğini hatırlatmakta fayda var.

XDA geliştiricisi kevinrocksman, 5 dakikalık  4K kayıt sınırlamasını düzeltmek için SamsungCamera4.apk’ı yeniden derledi.  Bu özel modu kullanmak için aşağıdaki adımları izlemeniz gerekir.

1. Zip dosyasını indirin ve apk dosyasını çıkartın SamsungCamera4.apk – SamsungCamera4.apk dosyasını buradan indirin
2. es dosyası keşfe çıkın ve sisteme göz atın / apps / SamsungCamera4 /
3. Bu klasördeki her şeyin yedeğini alın, ardından klasördeki her şeyi silin
4. İndirdiğiniz SamsungCamera4.apk’ ı bu dizin içersine kopyalayın /system / apps / SamsungCamera4 /
5. Dosya üzerinde rw-r-r için izin ayarlayın
6. Telefonunuzu yeniden başlatın.
7. Yeniden başlattıktan sonra kameranızın çalışıp çalışmadığını kontrol edin, bir kez kameranın simgesindeki KRM’yi kayıt düğmesinin üstüne getirin.
8. KRM’yi görürseniz, modu başarıyla yüklediniz.

Windows Update Yöntemi ile :

• İlk önce Denetim Masası>Windows Update bölümünden güncellemeleri denetleyin. Eğer Windows 10 güncellemesi görünmüyorsa 2. adımı izleyin.
•  C:\Windows\SoftwareDistribution\Download bölümündeki her şeyi silin. ( Bu işlem sırasında herhangi bir güncelleştirme yapılmıyor olması gerekir)
• Komut İstemini (cmd.exe) yönetici olarak çalıştırın. Komut istemini görev çubuğundaki Windows logosuna sağ tıklayarak çalıştırabilirsiniz. Ya da arama kısmına cmd.exe yazıp, çıkan arama sonucuna sağ tıklayıp yönetici olarak çalıştırabilirsiniz.
•  Bu işlemleri gerçekleştirdikten sonra Denetim Masası>Windows Update bölümünden Windows 10 güncellemesinin otomatik olarak indiğini görüntüleyebilirsiniz.

Windows 10 ISO Dosyası İndirme :

Windows 10 ‘u kullanıcılara ücretsiz olarak sunacağını açıklayan Microsoft, Windows 10’u ISO formatında indirilebilir olarak sitesinden paylaştı :  Windows 10 İndir

İlk önce 32 Bit ve 64 Bit seçeneklerinden birini seçtikten sonra bilgisayarımıza Medya Oluşturma Aracı ( Media Creation Tool) inmeye başlıyor.  Bu medya oluşturma aracı ile Windows 10 ‘a ait ISO dosyasını bilgisayarımıza indirebilirsiniz.

İndirme seçenekleri arasında Dil ve Edition seçenekleri de mevcut.   Ayrıca ISO dosyasının DVD’ye mi yoksa USB bellek üzerine mi yazdırmak istediğinizi seçiyorsunuz.

Direk USB bellek üzerine indirebilme seçeneği eski Windows sürümlerindeki gibi USB’den boot etmek istediğimizde yapmış olduğumuz ekstra işlemlerden kurtaran güzel bir detay olmuş.

Windows 10 Minimum Sistem Gereksinimleri :

İşlemci: 1 GHz ya da üstü (PAE, NX ve SSE2 destekli) işlemci
Bellek: 32 bit için 1 GB, 64 bit için 2 GB Ram
Disk alanı: 32 bit için en az 16 GB, 64 bit için en az 20 GB boş depolama alanı
Ekran kartı: En az Microsoft DirectX 9 destekli ekran kartı

Windows ile ilgili güzel bir ön inceleme yazısı okumak isterseniz aşağıdaki linkten bakabilirsiniz.

Windows 10 İlk Ön İzleme Ve K[yasr_visitor_votes size=”medium”]ullanım

“Virtualization” yani sanallaştırma teknolojisini destekleyen işlemcilerin biosunda sanallaştırma özelliği genel olarak “disable” modda seçili. Bu özelliğin fiziksel işlemcimizde kapalı olması sanallaştırma yapmak istediğimizde bize engel teşkil ediyor. Bu sebeble VMware üzerinde işletim sistemini yüklemek istediğinizde “This host does not support Intel VT-x” hata raporu ile karşılaşıyorsunuz. Bunun için biostan virtualization seçeneğinin “enable” olarak seçilmesi gerekiyor.  Hata raporunu ve uefi bioslarda yapılacak  ayarları sırasıyla aşağıdaki resimlerde görebilirsiniz.

 

VMware Intel VT-x Hatası;

 

 

 

 

 

 

 

 

 

 

Legacy bioslarda sanallaştırma seçeneğini aktif hale getirme;                                                     

 

 

 

 

 

 

 

 

 

Uefi Bioslarda sanallaştırma seçeneği;