{"id":9356,"date":"2021-02-22T13:40:09","date_gmt":"2021-02-22T10:40:09","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=9356"},"modified":"2021-02-22T13:40:09","modified_gmt":"2021-02-22T10:40:09","slug":"ransomware-attack-what-to-do","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-attack-what-to-do\/9356\/","title":{"rendered":"Yoksa dosyalar\u0131n\u0131z m\u0131 \u015fifrelendi?"},"content":{"rendered":"

A\u011f\u0131n\u0131z\u0131, ger\u00e7ekle\u015fme ihtimali olan her tehditten koruma konusunda yazd\u0131\u011f\u0131m\u0131z bin bir<\/a> yaz\u0131n\u0131n hepsini okudunuz diyelim. Ama bazen, t\u00fcm \u00f6nlemlere ra\u011fmen a\u011f\u0131n\u0131za vir\u00fcs bula\u015fabilir. Bu ya\u015fand\u0131\u011f\u0131nda ise yapman\u0131z gereken sakin olup h\u0131zl\u0131 ve kararl\u0131 hareket etmektir. Tepkiniz, ya\u015fanan olay\u0131n \u015firketiniz i\u00e7in \u00f6l\u00fcmc\u00fcl bir ba\u015f a\u011fr\u0131s\u0131na veya gurur duyaca\u011f\u0131n\u0131z bir ba\u015far\u0131ya d\u00f6n\u00fc\u015fmesinde etkili olacak.<\/p>\n

Kurtarma s\u00fcrecinde uygulanacak ad\u0131mlar\u0131 atarken hem \u00e7al\u0131\u015fanlar\u0131n hem de d\u0131\u015f d\u00fcnyan\u0131n g\u00f6z\u00fcnde \u015feffafl\u0131\u011f\u0131n\u0131z\u0131 korumak i\u00e7in t\u00fcm eylemlerinizi belgelendirmeyi unutmay\u0131n. Ayr\u0131ca ilerleyen zamanlarda sisteminizi hedef alabilecek ba\u015fka k\u00f6t\u00fc ama\u00e7l\u0131 ara\u00e7lar\u0131 tespit etme \u00e7al\u0131\u015fmalar\u0131n\u0131z i\u00e7in m\u00fcmk\u00fcn oldu\u011funca \u00e7ok kan\u0131t toplay\u0131n. Bunun i\u00e7in g\u00fcnl\u00fckleri ve sonraki ara\u015ft\u0131rmalarda faydal\u0131 olabilecek, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131ma ait di\u011fer izleri kaydetmeniz gerekir.<\/p>\n

B\u00f6l\u00fcm bir: Bulun ve izole edin<\/h2>\n

Yapaca\u011f\u0131n\u0131z ilk \u015fey, sisteme yap\u0131lan izinsiz giri\u015f eyleminin kapsam\u0131n\u0131 belirlemektir. K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m a\u011f\u0131n tamam\u0131na yay\u0131lm\u0131\u015f m\u0131? Birden fazla ofise ula\u015fm\u0131\u015f m\u0131?<\/p>\n

Kurumsal altyap\u0131da vir\u00fcs\u00fcn bula\u015ft\u0131\u011f\u0131 bilgisayarlar\u0131 ve a\u011f b\u00f6l\u00fcmlerini aramakla ba\u015flay\u0131n ve bulu\u015fmay\u0131 s\u0131n\u0131rland\u0131rmak i\u00e7in tespit etti\u011finiz makineleri a\u011f\u0131n geri kalan\u0131ndan ay\u0131r\u0131n.<\/p>\n

\u015eirketinizde fazla say\u0131da bilgisayar yoksa antivir\u00fcs, EDR<\/a> ve g\u00fcvenlik duvar\u0131<\/a> g\u00fcnl\u00fckleriyle<\/a> ba\u015flay\u0131n. Alternatif olarak uygulama senaryolar\u0131n\u0131n son derece s\u0131n\u0131rl\u0131 oldu\u011fu durumlarda fiziksel olarak makineden makineye y\u00fcr\u00fcyerek makineleri kontrol edebilirsiniz.<\/p>\n

\u00c7ok say\u0131da bilgisayardan bahsediyorsak Bilgi G\u00fcvenli\u011fi ve Olay Y\u00f6netimi (SIEM) sistemindeki<\/a> olaylar\u0131 ve g\u00fcnl\u00fckleri analiz etmeniz gerekecektir. Bu, sonras\u0131nda yapaca\u011f\u0131n\u0131z i\u015flerin tamam\u0131n\u0131 ortadan kald\u0131rmasa da b\u00fcy\u00fck resmi g\u00f6rmeniz i\u00e7in iyi bir ba\u015flang\u0131\u00e7 olabilir.<\/p>\n

Vir\u00fcs\u00fcn bula\u015ft\u0131\u011f\u0131 makineleri a\u011fdan izole ettikten sonra ilgili makinelerin disk g\u00f6r\u00fcnt\u00fclerini olu\u015fturun ve m\u00fcmk\u00fcnse ara\u015ft\u0131rma bitene kadar bu makineleri ayr\u0131 tutun. (\u015eirketin bilgisayarlarda kesinti s\u00fcresi ya\u015fanmas\u0131n\u0131 kald\u0131racak maddi g\u00fcc\u00fc yoksa disk g\u00f6r\u00fcnt\u00fclerini olu\u015fturduktan sonra ara\u015ft\u0131rmak \u00fczere bellek d\u00f6k\u00fcm\u00fcn\u00fc kaydedin.)<\/p>\n

B\u00f6l\u00fcm iki: Analiz edin ve harekete ge\u00e7in<\/h2>\n

Kapsam\u0131 kontrol etmeyi tamamlad\u0131ktan sonra elinizde \u015fifreli dosyalarla dolu makinelerin yer ald\u0131\u011f\u0131 bir listeniz ve bu disklerin g\u00f6r\u00fcnt\u00fcleri olacakt\u0131r. Vir\u00fcs\u00fcn bula\u015ft\u0131\u011f\u0131 t\u00fcm makinelerin a\u011fla ba\u011flant\u0131s\u0131n\u0131 kesti\u011finiz i\u00e7in bunlar art\u0131k tehdit olu\u015fturmaz. Kurtarma s\u00fcrecini hemen <em>ba\u015flatabilirsiniz<\/em><\/em> ama \u00f6nce a\u011f\u0131n kalan\u0131n\u0131n g\u00fcvende oldu\u011fundan emin olun.<\/p>\n

\u015eimdi fidye yaz\u0131l\u0131m\u0131 analiz ederek sisteminize nas\u0131l bula\u015ft\u0131\u011f\u0131n\u0131 ve bu fidye yaz\u0131l\u0131m\u0131 genellikle hangi gruplar\u0131n kulland\u0131\u011f\u0131n\u0131 \u00f6\u011frenme zaman\u0131. Yani, tehdit av\u0131 s\u00fcrecine ba\u015flayaca\u011f\u0131z. Fidye yaz\u0131l\u0131mlar birdenbire ortaya \u00e7\u0131k\u0131vermez. \u00d6nce dosya y\u00fckleyici<\/a>, RAT (Uzaktan Eri\u015fim Truva Atlar\u0131)<\/a>, Truva at\u0131 y\u00fckleyici<\/a> veya benzeri bir unsurla sisteme kurulurlar. \u0130\u015fte o unsuru bulup k\u00f6k\u00fcn\u00fc kaz\u0131man\u0131z gerekir.<\/p>\n

Bunun i\u00e7in kurum i\u00e7inde bir ara\u015ft\u0131rma ger\u00e7ekle\u015ftirin. \u00d6nce hangi bilgisayara sald\u0131r\u0131ld\u0131\u011f\u0131n\u0131 ve ilgili bilgisayar\u0131n sald\u0131r\u0131y\u0131 neden durduramad\u0131\u011f\u0131n\u0131 bulmak i\u00e7in g\u00fcnl\u00fckleri detayl\u0131 olarak inceleyin.<\/p>\n

Ara\u015ft\u0131rma sonu\u00e7lar\u0131na g\u00f6re ileri d\u00fczeyde gizlenmi\u015f k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131 a\u011fdan uzakla\u015ft\u0131r\u0131n ve m\u00fcmk\u00fcnse i\u015f operasyonlar\u0131n\u0131 geri ba\u015flat\u0131n. Ard\u0131ndan neyin bu sald\u0131r\u0131y\u0131 engelleme potansiyeli oldu\u011funu bulun: G\u00fcvenlik yaz\u0131l\u0131m\u0131 bak\u0131m\u0131ndan eksi\u011finiz ne? Buldu\u011funuz bo\u015fluklar\u0131 doldurun.<\/p>\n

Sonraki ad\u0131mda \u00e7al\u0131\u015fanlar\u0131 ya\u015fanan olayla ilgili uyar\u0131n, bu gibi tuzaklar\u0131n tespiti ve \u00f6nlenmesiyle ilgili bilgilendirin ve ilerleyen zamanlarda e\u011fitim verilece\u011fini bildirin.<\/p>\n

Son olarak \u015fu andan ba\u015flayarak g\u00fcncelleme ve yamalar\u0131 zaman\u0131nda kurun. G\u00fcncellemeler ve yama y\u00f6netimi BT y\u00f6neticilerinin \u00f6nemli \u00f6nceliklerindendir ve k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar genellikle mevcut bir yamayla \u00f6nlenebilecek g\u00fcvenlik a\u00e7\u0131klar\u0131ndan sisteme s\u0131zar.<\/p>\n

B\u00f6l\u00fcm \u00fc\u00e7: Temizleyin ve geri y\u00fckleyin<\/h2>\n

Bu a\u015famaya kadar a\u011fdaki tehdidi ve tehdidin i\u00e7eri s\u0131zd\u0131\u011f\u0131 deli\u011fi hallettiniz. \u015eimdi dikkatinizi \u00e7al\u0131\u015fma d\u0131\u015f\u0131 kalan bilgisayarlara \u00e7evirme zaman\u0131. Ara\u015ft\u0131rma i\u00e7in bu makinelere ihtiya\u00e7 kalmad\u0131ysa s\u00fcr\u00fcc\u00fcleri bi\u00e7imlendirin ve verileri, en son temiz yedekten geri y\u00fckleyin.<\/p>\n

Ama yedek kopyan\u0131z yoksa s\u00fcr\u00fcc\u00fclerdeki her \u015feyi de\u015fifre etmeye \u00e7al\u0131\u015fman\u0131z gerekir. Kaspersky\u2019nin No Ransom<\/a> web sitesi ile ba\u015flayabilirsiniz. Kar\u015f\u0131la\u015ft\u0131\u011f\u0131n\u0131z fidye yaz\u0131l\u0131m i\u00e7in gereken \u015fifre \u00e7\u00f6z\u00fcc\u00fc bu sitede mevcut olabilir. Arad\u0131\u011f\u0131n\u0131z \u015fifre \u00e7\u00f6z\u00fcc\u00fc burada yoksa yard\u0131m almak i\u00e7in siber g\u00fcvenlik sa\u011flay\u0131c\u0131n\u0131zla ileti\u015fime ge\u00e7in. Ne olursa olsun \u015fifrelenen dosyalar\u0131 silmeyin. Zaman zaman yeni \u015fifre \u00e7\u00f6z\u00fcc\u00fcler yay\u0131nlanmaktad\u0131r. Daha \u00f6nce oldu\u011fu gibi<\/a> yar\u0131n yeni bir \u015fifre \u00e7\u00f6z\u00fcc\u00fc yay\u0131nlanabilir.<\/p>\n

Durum her ne olursa olsun sald\u0131rganlara \u00f6deme yapmay\u0131n. Yaparsan\u0131z bir su\u00e7 faaliyetine sponsor olmu\u015f olursunuz ve \u00f6deme yapsan\u0131z bile verilerinizin \u015fifresinin \u00e7\u00f6z\u00fclme ihtimali pek y\u00fcksek de\u011fildir. Verilerinizi engellemekten ayr\u0131 olarak fidye yaz\u0131l\u0131m sald\u0131rganlar\u0131 verilerinizi \u015fantaj amac\u0131yla \u00e7alm\u0131\u015f<\/a> olabilir. Bu durumda a\u00e7 g\u00f6zl\u00fc siber su\u00e7lulara \u00f6deme yapman\u0131z onlar\u0131 daha fazlas\u0131n\u0131 istemeye te\u015fvik eder. Ge\u00e7mi\u015fte ya\u015fanan baz\u0131 olaylarda<\/a> sisteme izinsiz giren sald\u0131rganlar \u00f6deme ald\u0131ktan birka\u00e7 ay sonra geri gelip daha fazla para talep etmi\u015f ve ilgili kurumu \u00f6deme yap\u0131lmad\u0131\u011f\u0131 takdirde her \u015feyi yay\u0131nlamakla tehdit etmi\u015fti.<\/p>\n

Genel anlamda \u00e7al\u0131nan her t\u00fcrl\u00fc veriyi halka a\u00e7\u0131k bilgi olarak kabul edin ve veri s\u0131z\u0131nt\u0131s\u0131yla ba\u015fa \u00e7\u0131kmaya haz\u0131rl\u0131kl\u0131 olun. Olay hakk\u0131nda er ya da ge\u00e7 konu\u015fman\u0131z gerekecek: \u00e7al\u0131\u015fanlarla, payda\u015flarla, devlet kurumlar\u0131yla ve b\u00fcy\u00fck ihtimalle gazetecilerle. A\u00e7\u0131k s\u00f6zl\u00fcl\u00fck ve d\u00fcr\u00fcstl\u00fck<\/a> b\u00fcy\u00fck \u00f6nem ta\u015f\u0131r ve takdirle kar\u015f\u0131lan\u0131r.<\/p>\n

B\u00f6l\u00fcm d\u00f6rt: \u00d6nleyici ad\u0131mlar at\u0131n<\/h2>\n

B\u00fcy\u00fck \u00e7apl\u0131 bir siber sald\u0131r\u0131 her zaman b\u00fcy\u00fck sorunlar\u0131 beraberinde getirir ve \u00f6nleme bu a\u015famada en iyi \u00e7\u00f6z\u00fcmd\u00fcr. \u00c7\u0131kabilecek sorunlara kar\u015f\u0131 \u00f6nceden haz\u0131rl\u0131kl\u0131 olun:<\/p>\n