Nisan 2016 ~ Seyir Defteri

13 Nisan 2016 Çarşamba

Petya ransomware şifresi çözümlendi

Günümüzde genellikle Windows işletim sistemlerini hedef alan birden fazla fidyeci truva atları (Ransomware) vardır. En çok bilinen türü CryptoLocker truva atıdır. CryptoLocker ilk olarak 2013 yılında ortaya çıkmış ve E-Mail eklerinden bilgisayarlara bulaşarak bilgisayarımızın depolama aygıtı olan Hard Disk üzerindeki belirli dosya ve verileri şifreleyerek kullanıcıların bu dosyalara erişimini engellemektedir. Şifrenin çözümlenmesi için ise kullanıcıdan para talep edilmektedir.

Yaklaşık iki hafta kadar önce özellikle Almanya’da baş gösteren Petya isimli yeni bir Ransomware türemiştir. Diğer truva atlarına kıyasla Petya çok daha tehlikelidir. Bunun sebebi Petya’ nın bilgisayardaki belirli dosyalar yerine direkt olarak Master Boot Record’ u hedef almasıdır. Master Boot Record(kısaca MBR) depolama aygıtımız olan Hard Disk’ in ilk sektörüdür. Bilgisayarda hangi verinin/bilginin nerede olduğu burada saklıdır. Virüsü üreten kişler tarafından yapılan açıklamaya göre şifreleme Advanced Encryption Standard(AES) 256 Bit ve RSA 4096 Bit ile gerçekleştirilmiş ve bu yüzden verileri kurtarmanın tek yolunun şifrenin para karşılığında satın alınması olduğunu söylemişlerdi. Ancak uzmanlar Petya’ nın ürettiği şifreyi kırabilmek için Petya üzerinde çalışmalar başlatmış ve geçtiğimiz günlerde çalışmalar başarı ile sonuçlanmıştır.

Petya’nın şifresini kırma:

Petya virüsüne maruz kalmış bir bilgisayar ilk açıldığı anda kullanıcı yukarıdaki ekranla karşılaşır.

Petya’ nın ürettiği şifreyi kırabilmemiz için ihtiyacımız olan şey Petya’ nın ürettiği şifreyi hesaplayabilen bir internet sitesi (petya-pay-no-ransom-mirror1.herokuapp.com) ve Windows kurtarma CD’ si (eğer böyle bir CD oluşturmadıysanız Microsoft’ un kendi sitesinden ücretsiz olarak indirilebilirsiniz).

İnternet sitesi Petya virüsü bulaşmış Hard Diskimizin bazı bilgilerine ihtiyaç duymakta. Bu bilgileri elde etmenin iki farklı yolu vardır. İlki çok zahmetli bir yöntemdir. Bunun için internet üzerinden bir Hex-Editor programı indirerek ihtiyacımız olan tüm bilgileri okumaktır. Diğer yöntem ise güvenlik araştırmacısı olan Fabian Wosar’ ın bu amaç için ürettiği programı kullanmak. Program ücretisiz olup download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip linkinden indirilebilir. Bazı antivirüs programları bu programı tehdit olarak algılayabilir ancak program tamamen zararsızdır.

İlk adımda kurtarma CD’ sini ve yukarıdaki linkten indirmiş olduğunuz programı kopyaladığınız USB Belleği Petya virüsü bulaşmış bilgisayara takıyoruz ve bilgisayarı yeniden başlatıyoruz.

Karşınıza çıkan bu ekranda İleri seçeneğini seçiyoruz. Bu kısımda

bilgisayar onarma seçeneklerini seçiyoruz ve ardından gelişmiş ayarları seçiyoruz.

Son olarak buradan cmd’ yi çalıştır seçeneğini seçiyoruz.

Bu adımda USB belleğimizin hangi harf ile tanımlandığını bulmamız gerek. Bunun için açılan cmd ekranına notepad yazıyoruz ve ENTER tuşuna basıyoruz. Notepad programını açıktan sonra üst menüden Dosya -> Aç seçeneğini seçiyoruz ve karşımıza çıkan ekrandan USB belleğimizin hangi harf ile tanımlandığına bakıyoruz (burada F harfi ile tanımlanmış).

USB belleğimizin hangi harf ile tanımlandığını bulduktan sonra CMD ekranına USB belleğimizin harfi: (burada f:) komutunu girerek bilgisayarımızı USB belleğe yönlendiriyoruz ve ardından PetyaExtractor.exe komutunu girerek indirmiş olduğumuz programı çalıştırıyoruz.

Programı çalıştırdıktan sonra copy sector butonuna basıp otomatik olarak kopyalanan yazıyı notepad’ e yapıştırıyoruz. Ardından Copy Nonce butonuna basarak işlemi tekrarlıyoruz ve oluşturmuş olduğumuz bu dosyayı USB belleğimize kaydediyoruz.

İkinci bir bilgisayardan linkini vermiş olduğum internet sitesine giriyoruz ve oluşturmuş olduğumuz notepad dosyasının içerisindeki bilgileri bu siteye veriyoruz. İlk kutunun içerisine kopyaladığımız ilk bilgileri ikincisine ise ikini kopyaladığımız bilgiyi yapıştırıp submit butonuna basıyoruz.