Fidye Virüslerinden Korunma Rehberi

Benzer belgeler
Turkcell e-fatura sahte e-postaları şeklinde daha profesyonelce hazırlanmış ve daha hedefli ataklarla karşımıza çıkıyor.

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

Trickbot Zararlı Yazılımı İnceleme Raporu

Yazılım-donanım destek birimi bulunmalıdır.

ÖZ DEĞERLENDİRME SORU LİSTESİ

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

CRYPTOLOCKER VİRÜSÜ HAKKINDA BİLGİ NOTU YTU BİLGİ İŞLEM DAİRE BAŞKANLIĞI

Hastalık nasıl ilerler ya da bulaşır? Hastalıktan vücudumuz nasıl etkilenir? Hastalıktan nasıl kurtuluruz?

SİBER GÜVENLİK FARKINDALIĞI

BONASUS. Ertuğrul AKBAS [ANET YAZILIM]

NETCAD 6 AKTİVASYON İŞLEMİ

Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen Eposta

UITSEC-CERT. PETYA RANSOMWARE TEKNİK DETAYLARI BİLGİNİZE SUNULMUŞTUR. Version:2.0

Kaspersky Küçük ve Orta Ölçekli İşletmeler İçin Güvenlik

Web Uygulama Güvenliği Kontrol Listesi 2010

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

SİBER ESPİYONAJ FAALİYETLERİ VE TÜRKİYE

ÇOK ÖNEMLİ GÜVENLİK VE YEDEKLEME UYARISI

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Bulaşma Şekli. Zararlı yazılım fatura epostaları şeklinde kullanıcılara eposta göndermektedir.

Pac Dosyası İle Proxy Kullanmak

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Güncel CryptoLocker Saldırısına Dikkat

Berqnet Sürüm Notları Sürüm 4.1.0

DOĞAL TAŞ BİLGİ (DBS) SİSTEMİNİN KULLANIM YÖNERGESİ

Dolandırıcıların gözü bilgisayarlarda.

Red Alert 2.0 Truva Atı ve Bankacılık Zararlısı İnceleme Raporu

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

İMZAGER PROGRAMI İLE UZUN DÖNEM İMZA TİPİNDE ELEKTRONİK İMZALI BELGE OLUŞTURMA

Mehmet Fatih Zeyveli CISSP Kullanıcı Tarafı Güvenliği

1 WINDOWS SERVER 2012 GENEL BAKIŞ 1 Giriş 1 Bu Kitapta 5 Çıkış Hikâyesi 6 Sürümler 7

Clonera Bütünleşik İş Sürekliliği Gereksinimler ve Kurulum Dökümanı

EFe Event Management System

SUNUCU DESTEK SERVİSİ HİZMET SÖZLEŞMESİ

İSTANBUL KEMERBURGAZ ÜNİVERSİTESİ İÇERİK YÖNETİM SİSTEMİ KULLANIM KLAVUZU KEMERBURGAZ ÜNİVERSİTESİ İÇERİK YÖNETİM SİSTEMİ

Eğitim Dokümanı Yerel Okul Sunucusu Uygulama Yazılımları Prototipi (Merkez Yönetim Yazılımı Uygulama Ekranları )

Google Play Zararlısı İnceleme Raporu

MUDDYWATER / PROXYRAT SİSTEM SIKILAŞTIRMA ÖNERİLERİ

Secure Networks Capabilities Dragon Network Defense

BİLGİSAYAR VİRÜSLERİ

Microsoft 20687A Configuring Windows 8

Dünyanın bilgisine açılan pencere... Ya da sadece yeni çağın eğlencesi...

İmza. İmza. İmza. İmza. İmza

KKTC MERKEZ BANKASI. SIZMA TESTLERİ GENELGESİ (Genelge No: 2015/01) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ AKIŞ SÜREÇLERİ

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

ÖNEMLİ: Kısıtlamalar

EKLER EK 12UY0106-5/A4-1:

Bilgi ve iletişim teknolojileri Dersi Ders Notlarıdır?

Ağ temelleri. Ders notları 5. Öğr.Gör. Hüseyin Bilal MACİT 2017

YEDEKLEME PROGRAMI KURULUM VE KULLANIMI

Windows Temelli Zararlı Yazılımlarla Mücadele

Düzenli Yedekle, Veri Kaybetme

qmail ile SPAM engelleme Devrim Sipahi Dokuz Eylül Üniversitesi

Güvenlik, Telif Hakları ve Hukuk

Elektronik Dergi ve Veri Tabanlarına Kampus Dışından Erişim

Daha Güçlü Türkiye için Etkin SOME ler Nasıl Olmalı?

5. Sınıflar Bilişim Teknolojileri ve Yazılım Dersi Çalışma Soruları 2

Temel Bilgi Teknolojileri - I Ayrıntılı Ders İçerikleri

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

Merkezi Yönetim & Merkezi Yedekleme

ACTFAX SERVER (ELEKTRONİK FAKS SİSTEMİ) TEKNİK ŞARTNAMESİ

BİLGİSAYAR VİRÜSLERİ

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı

Mobil Güvenlik ve Denetim

Bundan 20 yıl kadar önce, bilgi işlem servisleri günümüzdeki kadar yaygın kullanılmadığından, bilişim sistemleri günümüzdeki kadar önemli bir yere

ZEB-REVO.

CELAL BAYAR ÜNİVERSİTESİ KÜTÜPHANE VERİTABANLARINA ÜNİVERSİTE DIŞINDAN ERİŞİM

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

Bu doküman, 2016 Yıl sonu geçişi öncesi alınacak FULL BACKUP işlemlerini anlatmaktadır.

Venatron Enterprise Security Services W: P: M:

BİLGİSAYAR BİLİMLERİ ARAŞTIRMA VE UYGULAMA MERKEZİ BİLGİ GÜVENLİĞİ

TachoMobile Web Uygulaması v1.00.

İnternet ve İnternet Tarayıcıları BİLGİ VE İLETİŞİM TEKNOLOJİSİ DERS NOTU - 2

GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ. Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü

Virtualaze Unify Kurulumu

Güvenli İnternet Teknolojileri. Kurumsal Şirket Tanıtımı

TARİH:../ /20 STANDARTLAR YÖNETİM HİZMETLERİ Kalite Yönetim Birimi bulunmalıdır. 15

Coslat Monitor (Raporcu)

Korhan GÜRLER 2002 Dikey8 Bilişim Güvenliği Girişimi

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Kullanıcı Kitabı (2011)

Bilgi ve Olay Yönetim Sistemi

SİBER SUÇLARA KARŞI SİBER ZEKA

BATMAN ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

Computer and Network Security Cemalettin Kaya Güz Dönemi

URKUND da Nasıl Analiz Yaparım?

Değerlerinizi Koruyun!

Disk Alanı 100 Mb Mb Mb Mb Mb Mb. Aylık Trafik (Bandwidth) 1 Gb 5 Gb 10 Gb 15 Gb 25 Gb 35 Gb

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ TANIMLARI SIRA NO ADI SOYADI GÖREV TANIMLARI

Transkript:

Fidye virüslerinin etkisi gün geçtikçe artmaktadır. Fidye virüslerinin etkisini en aza indirmek için enfeksiyon yaşanmadan önce neler yapılmalıdır? Fidye virüsleri nasıl tanınır? Enfekte olmuş makinelerde neler yapılmalı? Enfeksiyon sonrasında neler yapılmalı? Fidye Virüslerinden Korunma Rehberi www.cioturkey.org

1 Önceden Yapılacaklar İşletim sistemlerinin güvenlik yamalarının yüklenilmiş olmasına dikkat edilmelidir. Kullanıcılar, bilgisayarlarında local admin olmamalıdır. Gereksiz uygulamalar ve servisler kaldırılmalıdır. Mümkünse host tabanlı IDS/IPS kullanılmalıdır. Mümkünse Endpoint seviyesinde web ve spam filtering kullanılmalıdır. Mümkünse USB portları kullanıma kapatılmalıdır. Mümkünse çalışanlara virtual desktop sunulmalı. Dosyaların bulunduğu diskte Shadow Copy aktif hale getirilmelidir. Bazı virüs varyantlarının, shadow copy versiyonlarını silmesini engellemek için %WinDir%\system32\ altındaki shadow copy yönetimini gerçekleştiren vssadmin.exe aracının adı değiştirilmelidir. Endpoint, Firewall, Proxy, E-mail Gateway gibi ürünler kullanılıp, güncel tutularak perimetrik koruma sağlanmalıdır. Klasik güvenlik cihazları yerine sandboxing yapan ürünler tercih edilmelidir. Endpoint koruma uygulamalarının güncel olmasına dikkat edilmelidir. Güvenlik cihazlarında js, exe gibi dosya tiplerinin mail ile iletimi engellenmelidir. Mümkünse policy ile son kullanıcıların makroları etkinleştirmesi engellenmeli. %ALLUSERSPROFILE% veya %APPDATA% gibi virüs dosyalarının kopyalandığı alanlarda, exe gibi yürütülebilir dosyaların çalıştırılması engellenmeli. USOM listeleri veya Tehdit İstihbaratı hizmeti alınarak, fidye virüsü saldırısı yapılan/yapılacak domain ve IP ler bloklanmalıdır. BT destek personelleri ve tüm son kullanıcılar, fidye virüsleri hakkında bilgilendirilerek, farkındalık artırılmalıdır. Önemli dosyaların bilgisayarlarda değil dosya sunucusunda saklanması konusunda kullanıcılar bilgilendirilmelidir. Dosya sunucusunu, kullanıcı bilgisayarlarına disk olarak eklemekten kaçınılmalıdır. Doğrudan bağlantı verilmesi gerekiyor ise kısayol olarak bağlantı sağlanmalıdır. Kullanıcılar, dosya sunucusundaki klasörlerde minimum ayrıcalık prensibine göre yetkilendirilmelidir. Klasik dosya sunucuları yerine SharePoint gibi doküman yönetim sistemleri kullanılmalıdır. Dosyaların istenilen güncellikte olacak şekilde güvenilir yedekleri alınmalıdır. Yedeklemede 3-2-1 stratejisi uygulanmalıdır. En az 3 yedek kopyası olmalı. 2 yedek kopyası materyali(bant, offline disk, online disk, cloud vb.) farklı olmalı. 1 yedek kopyası offline olmalı. Alınan yedekler, belirli periyotlarda test edilerek, yedeklemenin doğru çalıştığı teyit edilmeli. CIOTURKEY 1

Fidye Virüslerini Tanıma 2 Genellikle yüksek miktarda görünen fatura, hediye kazandınız, adınıza kargo var gibi başlıklar ile mail içerisinde verilen bir link veya maile eklenmiş bir dosya ile bulaşmaktadır. Virüs bulaştığında masa üstüne veya şifrelediği dosyaların bulunduğu klasörlere dosyaların nasıl şifrelendiğini, ödeme yapılacak bitcoin miktarını ve nasıl ödeme yapılacağını açıklayan txt veya html uzantılı bir dosya ile not bırakır. Bazı fidye virüsü varyantları, bilgisayar arka planı resmini, yukarıdaki açıklamaların yer alacağı şekilde değiştirir. Kullanıcı bilgisayarındaki ve erişimi olduğu paylaşımlı klasörlerdeki dosyaların uzantısı, bilinmeyen bir dosya uzantısı ile değiştirilir. Enfekte Olmuş Makinelerde Yapılacaklar 3 Virüsün aktif edildiği makinelerin çıkış trafiği izlenerek komuta kontrol merkezleri tespit edilmeli ve bloklanmalıdır. Enfekte olan bütün makinelerin ağ bağlantısı kesilmelidir. Enfekte olmuş makinelere bağlanmış paylaşımlı alanlar var ise kaldırılmalıdır. Enfekte olan makinelerde Task Manager dan bilinmeyen proseslerin çalışıp çalışmadığı tespit edilmelidir. Olağan dışı çalışan proses var ise dumpı alınarak, debug edilir ve virüsün neler yaptığı tespit edilir. Virüslerin bıraktığı bilgilendirme dosyaları ve şifrelenmiş dosyaların uzantısı incelenerek, bulaşan virüsün varyantı tespit edilmeye çalışılır. CIOTURKEY 2

Enfeksiyon Sonrası Yapılacaklar 4 Vssadmin.exe aracının ismi değiştirilmiş ise orijinal haline getirilir. Shadow Explorer kullanılarak, enfeksiyon öncesi bir tarihe shadow copyden dönmeye çalışılır. Kaspersky, Emsisoft, TrendMicro gibi firmaların bazı varyantları decrypt eden araçları mevcuttur. Virüsün tipine göre şifrelenmiş dosyalar decrypt edilmeye çalışılır. Shadow Copy veya decryption araçları ile dosyaları geri getirmek mümkün değil ise ileride geliştirilecek muhtemel decrypt çözümleri için decrypt edilemeyen dosyalar offline bir alana alınmalıdır. Shadow Copy veya decryption araçları ile geri getirilen dosyalar offline bir alana alınır. Virüsün kopyaladığı dosyalar ve registry kayıtları silinmeli veya makineye format atılmalıdır. İlgili dosyaları ve kayıtları silme veya format sonrası makine trafiği izlenerek trafiğin normal olduğu teyit edilmelidir. İlgili dosyaları ve kayıtları silme veya format sonrası makinenin RAM, CPU ve Disk faaliyetleri incelenerek normal olduğu teyit edilmelidir. En güncel yedekten geri dönüş yapılmalıdır. Virüs, organizasyon içerisine oltalama maili ile ulaşmış ise gönderen domain bilgisi bloklanarak USOM a bildirilmelidir. Zararlı URL ler belirli bir formata uyuyor ise e-mail gatewaylerde format tanımlanarak engellenmelidir. Virüsün bulaşmasına sebep olan URL veya dosya, kullanılan endpoint hizmeti sağlayıcı ile paylaşılmalıdır. Raporlama 5 Enfeksiyon nasıl gerçekleşti tanımlanmalıdır. Enfeksiyon sonrası alınan aksiyonlar ve zaman çizelgesi çıkarılmalıdır. Enfeksiyon öncesi ve sonrasında neler doğru yapıldı neler yanlış yapıldı çıkarılmalıdır. Önceden Yapılacaklar listesindeki nelerin eksikliği enfeksiyona neden oldu, tanımlanmalıdır. Olay maliyeti çıkarılmalıdır. CIOTURKEY 3

@CIOTurkey CIOTURKEY 4 01.01.2017

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim