Merhaba değerli TürkHackTeam üyeleri. Fidye virüsü serimize kaldığımız yerden devam ediyoruz. İyi okumalar dilerim!
2010'lu yılların ortalarında ortalığı kasıp kavuran ve hala bunu yapmaya devam eden "Petya" virüsü, harddiskin MBR sektörünü şifreleyip diskinizi kullanılamaz hale getirir.
Aşağıda vereceğim VirusTotal linklerinde dosyaların nasıl bir yol izlediğini detaylıca görebilirsiniz.
Enfekte olmuş dosyayı açtığımızda bilgisayar kendini yeniden başlatır ve sizi şöyle bir CHKDSK Ekranıyla karşılar.
Bu aşamada bilgisayarınızı kapatarak dosyalarınız halen kurtarabilirsiniz.
Ancak CHKDSK işlemi bittikten sonra kurtuluşunuz pek yok denilebilir.
Petya'yı incelediğimizde aslında sistemi tamamen etkisiz hale getirmek yerine sadece belirli sektörleri şifreleyip dosya sistemini bozmuş olduğunu görebiliriz.
Buradan da görebileceğimiz gibi MBR sektörümüz Petya'nın boot loaderı tarafından enfekte hale gelmiş. Tabi ki ransom notumuzda burada bulunuyor
Aşağıdaki resim ise Petya şifreleme diyagramını göstermektedir.
Konuyu fazla uzun tutmamak adına vereceğim videoda Enderman kanalı tarafından hazırlanmış Petya Ransomware atağını izleyebilirsiniz.
Bu link ise Petya Decryptor. Güvende Kalın! İyi forumlar dilerim.
GitHub - hasherezade/petya_key: A decoder for Petya victim keys, using the Janus' masterkey.
A decoder for Petya victim keys, using the Janus' masterkey. - hasherezade/petya_key
github.com