Fidye yazılımları siber suçluların her yıl on milyonlarca dolar kazanmasını sağlayan en ciddi tehditlerden biri haline geldi. Ransomware olarak bilinen yazılımların en ünlüsü Cryptolocker, bugüne kadar sayısız insanın sosyal ve iş hayatına ait zilyonlarca GB veriyi ortadan kaldırarak çok büyük zararlara yol açtı.
Fidye yazılımlara karşı güvenlik önlemlerinin geliştirilmesi ve farkındalığın artmasını sağlayan Cryptolocker’ın ardından öne çıkan Petya, güvenlik araştırmacılarının geliştirdiği yöntemle deşifre edildi.
Siber dünyada geçtiğimiz ay içinde hızla yayılmaya başlayan Petya, benzerleri gibi spam e-postalar ile yayılıyor. Şirketlerin mail kutusuna iş başvuruları görünümüyle gönderilen Petya, bir hard disk drive’ın master boot record (MBR) üzerine yazarak, bulaştığı bilgisayarların işletim sistemini çalıştıramamasına neden oluyor.
Petya, yaptığı işlemle hard diskin yasal MBR kodunu sahtesiyle değiştiriyor ve işletim sistemini bloke ediyor. Bilgisayarı hack’lenen kullanıcı, PC’yi açtığında master file table (MFT) şifrelenen bigisayarda bir fidye notu beliriyor. MFT, NFTS üzerinde yer alan ve tüm dosyalar hakkında bilgi içeren özel bir dosyayı temsil ediyor.
Petya, kullanıcının dosyalarındaki verileri şifrelemiyor ancak MFT olmadan işletim sistemi dosyaların hard disk üzerinde nerede olduğunu tespit edemiyor. Veri kurtarma programlarının ise bu durumda işe yarama olasılığı düşük kalıyor ve çok büyük zaman kaybı yaşanıyor.
Haliyle en kısa ve kesin çözüm, siber suçlulara istedikleri miktarı ödemekten geçse de (güven unsuru asla kesin değil), güvenlik uzmanları Petya’dan verileri kurtarmanın yolunu buldu. Bir yazılımcının hazırladığı algoritma, MFT’yi kurtarmak için gerekli anahtarı oluşturmayı başardı.
PC’yi normale döndürmek mümkün
BleepingComputer forumunda yorum yapan güvenlik uzmanlarına göre, söz konusu algoritma işe yarıyor. Ancak bunun için virüs bulaşan hard diskten de veri kurtarmak gerekiyor.
İşin fazla tekniğinden anlamayanların yardımına koşan Emsisoft firmasından Fabian Wosar, herkesin kullanabileceği bedava bir araç geliştirdi. Kullanabilmek için, işletim sistemi çalışmayan bilgisayara bağlı hard disk’i çıkarıp, güvenli bir PC’ye takmanız gerekiyor.
Bilgilerin kullanılması için Petya’yı devre dışı bırakan @leostone’un geliştirdiği Web uygulamasına yüklenmesi gerekiyor. Ardından, hard disk tekrar virüs bulaşan bilgisayara takılıyor, boot ediliyor ve fidye notu ekranındaki yere anahtar yerleştiriliyor.
Söz konusu yöntemi deneyen BleepingComputer kurucusu Lawrence Adams, hard disk deşifre edildikten sonra fidye yazılımın reboot gerektirdiğini ve PC’nin sonradan normal şekilde boot etmeye başladığını belirtti.
Siber dünyada white hacker’lar en büyük güvenlik dayanağımız. Yine de ilk kural, fazlasıyla dikkatli olmak.