Bu hücum iki aydan bəri bütün dünyada təsirlənmiş ikinci böyük fidyə proqramı olduğu üçün narahatdır. Xatırladaq ki, May ayında İngiltərədəki Milli Səhiyyə Xidməti, NHS, WannaCry adlı malware ilə yoluxmuşdur. Bu proqram NHS və dünyanın bir çox digər təşkilatını təsir etdi. WannaCry ilk dəfə NHS ilə əlaqədar sızdırılan sənədlər Aprel ayında Shadow Brokers kimi tanınan hackerlər tərəfindən onlayn olaraq buraxıldı.
WannaCrypt adlı WannaCry proqramı, dünyada 150-dən çox ölkədə olan 230,000-dən çox kompyuterə təsir etdi. NHS-dən başqa, Telefonica, bir İspan telefon şirkəti və Almaniyada dövlət dəmiryolları da hücum edildi.
WannaCry kimi, "Petya" Microsoft Windows istifadə edən şəbəkələrdə sürətlə yayılır. Ancaq sual nədir? Biz də bunun nə olduğunu və necə dayandırılacağını bilmək istəyirik.
Ransomware nədir?
Anlamaq lazım olan ilk şey, fidyə proqramının tərifidir . Əsasən, fidyə proqramları bir kompüterə və ya məlumatlara girişinizi maneə törətmək üçün çalışan hər cür malwaredir. Sonra kompüterə və ya məlumatlara daxil olmaq istəyərkən, fidyə ödəmədiyiniz təqdirdə onu əldə edə bilməzsiniz. Pretty pis və dəhşətli deməkdir!
Ransomware necə işləyir?
Şəbəkə proqramının necə işlədiyini anlamaq da vacibdir. Bir kompüter fransız proqramı ilə yoluxduqda, şifrələnir. Bu, sizin kompüterinizdə olan sənədlərin daha sonra kilidləndiyini və fidyə ödəmədən onları açamadığını bildirir. Hər şeyi daha da çətinləşdirmək üçün faylların kilidini açmaq üçün istifadə edə biləcəyiniz rəqəmsal bir düyməyə görə, fidyə Pulun deyil, Bitcoin-də ödənilməlidir. Dosyalarınızın bir nüsxəsi yoxdursa, iki seçiminiz var: bir neçə yüz dollardan bir neçə min dollar olan fidyəni ödəyə bilərsiniz və ya fayllarınızın hamısına daxil olmaq imkanı yoxdur.
"Petya" Ransomware necə işləyir?
"Petya" qurbanları çoxu xilaskar kimi işləyir. Bir kompüteri alır və sonra Bitcoin-də 300 dollar tələb edir. Bu bir kompüter yoluxduqdan sonra tez bir şəbəkə və ya təşkilat arasında yayılmış olan zərərli bir proqramdır. Bu xüsusi proqram, Microsoft Windows'un bir parçası olan EternalBlue açığı istifadə edir. Microsoft, bu zəiflik üçün bir yamıq çıxardığına baxmayaraq, hər kəs onu quraşdırmamışdır. Fidyə proqramı həmçinin Windows administrator vasitəsi ilə yayılmaqdadır və kompüterdə parol yoxdursa. Zərərli proqram bir yolla alına bilmirsə, avtomatik olaraq başqa bir təşkilat çalışır, bu da bu təşkilatlar arasında çox tez yayıldı.
Beləliklə, "Petya" kiber təhlükəsizlik mütəxəssislərinə görə, WannaCry-dən daha asan yayılır.
"Petya" dan qorunmaq üçün hər hansı bir yol varmı?
Çox böyük bir antivirus şirkətləri "Petya" malware infeksiyasına qarşı qorunmaq üçün yalnız proqram təminatını yenilədiklərini iddia etdiklərini iddia edirlər. Məsələn, Symantec proqramı "Petya" dan qorunma təklif edir və Kaspersky, müştərilərin zərərli proqramlardan qorunmasına kömək etmək üçün bütün proqramlarını yeniləyib. Üstəlik, Windows-un yenilənməsi ilə özünüzü qoruya bilərsiniz. Başqa bir şey etməsəniz, ən azı, bu EternalBlue təhlükəsizliyinə qarşı müdafiə edən mart ayında azad edilən kritik yamanı quraşdırın. Bu, yoluxmağın əsas yollarından birini dayandırır və gələcək hücumlardan da qoruyur.
"Petya" malware epidemiyasının başqa bir müdafiə xətti də mövcuddur və yalnız yaxınlarda aşkar edilmişdir. Malware, C: \ sürücüsünü perfc.dat adlı bir salt okunur fayl üçün yoxlayır. Zərərli proqram bu faylı taparsa, şifrələmə işləmir. Lakin, bu fayl varsa belə, həqiqətən, malware enfeksiyasının qarşısını almır. Hələ də istifadəçi kompüterində fərq etmirsə, zərərli proqramları bir şəbəkədə digər kompüterlərə yaya bilər.
Niyə bu Malware "Petya" deyilir?
Nə üçün bu malware "Petya" adlandırıldığını merak edərsiniz. Əslində, "Petya" deyilən texniki cəhətdən deyil. Bunun əvəzinə, "Petya" adlanan köhnə bir fidyə proqramı ilə bir çox kodu paylaşmaq kimi görünür. Bununla birlikdə ilk təhlükəsizlik mürəkkəbliyi sonrasında təhlükəsizlik mütəxəssisləri qeyd etdilər ki, bu iki qurğu əvvəlcədən düşünülməmişdi. Beləliklə, "Kaspersky Lab" da tədqiqatçılar "NotPetya" (bu orijinal!), Həmçinin "Petna" və "Pneytna" kimi digər adlara da toxunaraq başlamışlar. Bundan əlavə, digər tədqiqatçılar "Goldeneye" Rumıniyadan olan Bitdefender onu çağırmağa başladı. Ancaq "Petya" artıq sıxışmışdı.
"Petya" harada başladı?
"Petya" nın harada başladığını merak edirsiniz? Müəyyən bir mühasibat proqramına daxil edilmiş proqramdan bir yeniləmə mexanizmi ilə başlayıb. Bu şirkətlər Ukrayna hökuməti ilə işləyirdi və hökumət tərəfindən bu xüsusi proqramı istifadə etmək üçün tələb olunurdu. Bu səbəbdən Ukraynadakı çox sayda şirkətin təsirinə məruz qalmışdır. Təşkilatlar arasında banklar, hökumətlər, Kiyevin metro sistemi, əsas Kiyev hava limanı və dövlət enerji kommunalları daxildir.
Çernobildəki radiasiya səviyyəsini izləyən sistem də fidyə proqramlarından təsirləndi və nəticə etibarilə offline olaraq qəbul edildi. Bu məcburi işçilər, istisnasız zonada radiasiyanın ölçülməsi üçün manuel əl alətləri istifadə etməlidirlər. Bunun üzərinə, malware ilə dolu olan e-poçt əlavələrinə sahib olan bir kampaniya tərəfindən spirtlənmiş malware infeksiyalarının ikinci dalğası olub.
"Petya" enfeksiyonu nə qədər uzanır?
"Petya" qurbanları geniş və yayılmışdır və həm ABŞ, həm də Avropada şirkətlərin fəaliyyətini pozmuşdur. Məsələn, ABŞ-da reklam şirkəti olan WPP, Fransada tikinti materialları şirkəti Saint-Gobain və Rusiyada həm Rosneft, həm də Evraz, neft və polad şirkətləri də təsirləndi. Pittsburgh şirkəti, Heritage Valley Sağlamlıq Sistemləri, həmçinin "Petya" malware ilə vurulub. Bu şirkət Pittsburgh ərazisində xəstəxanalar və qayğı müəssisələri çalışır.
Lakin, WannaCry-dən fərqli olaraq, "Petya" malware proqramı şəbəkələrə çatdıqda tez yayılmağa çalışır, ancaq şəbəkə xaricində yayılmağa çalışmır. Bu fakt yalnız bu malware potensial qurbanlarına kömək edə bilərdi, çünki bunun yayılması məhdudlaşdırılıb. Beləliklə, neçə yeni infeksiyanın görüldüyü bir azalma kimi görünür.
"Petya" nı göndərən Cybercriminals üçün motivasiya nədir?
"Petya" nın ilk dəfə aşkar edildiyi zaman, malware proqramının baş verməsi yalnız bir siber cinayətkardan sızan online siber silahlardan istifadə etmək cəhdidir. Lakin, təhlükəsizlik işçiləri "Petya" malware hücumunda bir az daha yaxından göründükdə, onlar ödəniş yolu kimi bəzi mexanizmlərin olduqca amatör olduğunu söyləyirlər, buna görə ciddi cybercriminals arxasında olduqlarına inanmırlar.
Birincisi, "Petya" malware ilə gələn fidyə qeyd hər malware qurbanı üçün eyni ödəniş ünvanı daxildir. Bu qəribədir, çünki həmkarları qurbanlarının hər biri üçün xüsusi bir ünvan yaradır. İkincisi, proqram zərər çəkmiş şəxsləri birbaşa təcili hücumlarla əlaqə qurmağı tələb edir və elektron poçt ünvanının "Petya" qurbanları üçün istifadə edildiyi aşkar edilərkən dərhal dayandırıldı. Bu, bir adamın 300 dollar fidyə ödəməsinə baxmayaraq, təcavüzkarlarla ünsiyyət qura bilməyəcək və bundan əlavə, kompüterin və ya fayllarının açılmasına icazə verən şifrələməni əldə edə bilmirlər.
Sonra hücum edənlər kimlərdir?
Kiber təhlükəsizlik mütəxəssisləri professional bir kiber cinayətkarı "Petya" malware arxasında olduğuna inanmır, buna görə kimdir? Heç kim bu nöqtədə bilir, amma ehtimal ki, onu yayan şəxs və ya şəxs malware sadə tədarük proqramı kimi görünməsini istəyirdi, amma bunun əvəzinə tipik qurbanlardan daha çox dağıdıcıdır. Təhlükəsizlik tədqiqatçısı Nicolas Weaver, "Petya" nın zərərli, dağıdıcı və qəsdən hücum olduğunu düşünür. Grugq tərəfindən gedən bir araşdırmaçı, "Petya" nın pul qazanmaq üçün cinayət təşkilatının bir hissəsi olduğuna inanır, ancaq "Petya" eyni şeyi etməz. Onlar həm də razılığa gəldilər ki, malware tezliklə yayılmaq və bir çox zərərin yaranmasına səbəb oldu.
Biz qeyd etdiyimiz kimi, Ukraynaya "Petya" tərəfindən çox ağır zərbə vuruldu və ölkə barmaqlarını Rusiyaya göstərdi. Ukraynanın bir sıra əvvəlki cyberattacks üçün də Rusiyanı günahlandırdığını nəzərə alaraq bu təəccüblü deyil. Bu kiber hücumlardan biri 2015-ci ildə baş verib və Ukraynanın elektrik şəbəkəsinə yönəldilib. Bunun nəticəsi olaraq müvəqqəti olaraq Qərb Ukraynanın bir hissəsini heç bir güc olmadan tərk etməsi sona çatdı. Ancaq Rusiya, Ukraynadakı kiber hücumlara heç cür qatılmayıb.
Siz Ransomware qurbanı olduğunuza inanırsan nə etməliyəm?
Bir fidyə hücumunun qurbanı ola bilərsənmi? Bu xüsusi hücum bir kompüterə yoluxar və kompüter özbaşına yenidən başlamadan təxminən bir saat gözləyir. Bu olarsa, dərhal kompüterinizi söndürməyə çalışın. Bu, kompüterdə olan faylların şifrələnməsinə mane ola bilər. Bu nöqtədə, faylları maşın çıxarmaq üçün cəhd edə bilərsiniz.
Kompüter yenidən başladın və bir fidyə görünməzsə, onu ödəməyin. Xatırlayın ki, zərərçəkənlərdən məlumat toplamaq və açmaq üçün istifadə edilən e-poçt ünvanı bağlanır. Bunun əvəzinə, PC-ni internetdən və ağdan ayırın, sabit diskinizi yenidən formatlaşdırın və sonra faylları bərpa etmək üçün bir backup istifadə edin. Daima fayllarınızı müntəzəm şəkildə saxladığınıza və həmişə antivirus proqramınızı güncəlləşdirdiyinizə əmin olun.