nt
Emekli
- Katılım
- 21 Nisan 2023
- Mesajlar
- 1,215
Fidye Yazılımı - Ransomware Kontrol Listesi
Rehber'de sağlanan aşağıdaki kontrol listesini kullanmanızı şiddetle önermektedir.
Bu bilgiler, tespitten başlayarak kontrol altına alma ve yok etme sürecini sizinle paylaşacaktır.
İlk üç adımı sırayla takip ettiğinizden emin olun.
Tespit ve Analiz
Ransomware tarafından oluşturulan riskle başa çıkmak ve ransomware olayına koordineli ve etkili bir yanıt sağlamak için aşağıdaki en iyi uygulama ve referanslara başvurun. Bu uygulamaları, kuruluşunuzun kaynaklarının mevcudiyetine dayanarak mümkün olduğunca geniş bir şekilde uygulayın.
Etkilenen sistemleri belirleyin ve hemen izole edin.
Birçok sistem veya alt ağ etkilendiyse, ağı anahtar seviyesinde çevrimdışı alın. Bir olay sırasında bireysel sistemleri bağlamak mümkün olmayabilir.
Günlük operasyonlar için hayati öneme sahip olan kritik sistemleri izole etmeye öncelik verin.
Ağı geçici olarak çevrimdışı almak hemen mümkün değilse, ağ kablosunu (örneğin, ethernet) bulun ve etkilenen cihazları ağdan çıkarın veya enfeksiyonu sınırlamak için Wi-Fi'dan uzaklaştırın.
Bulut kaynakları için, sonradan incelenmek üzere bir nokta kopyası almak için birimlerin bir anlık görüntüsünü alın.
İlk bir saldırıdan sonra, kötü niyetli aktörler, eylemlerinin tespit edilip edilmediğini anlamak için kuruluşunuzun faaliyetlerini veya iletişimini izleyebilir.
Sistemleri koordine bir şekilde izole edin ve aktörlerin keşfedildiğini ve önleme eylemlerinin yapıldığını anlamalarını engellemek için telefon aramaları gibi dış-bant iletişim yöntemlerini kullanın.
Bunu yapmamak, aktörlerin erişimlerini korumak veya ağlar çevrimdışı alınmadan önce geniş çaplı ransomware dağıtmak için hareket etmelerine neden olabilir.
Eğer cihazları ağdan bağlantısını kesemiyorsanız, ransomware enfeksiyonunun daha fazla yayılmasını önlemek için cihazları kapatın.
Not: Bu adım, ağ geçici olarak kapatılamıyorsa veya etkilenen ana bilgisayarlar başka bir şekilde ağdan ayrılamıyorsa yalnızca gerçekleştirilmelidir.
Etkilenen sistemleri onarım ve kurtarma için önceliklendirin.
Temiz bir ağda onarım için kritik sistemleri belirleyin ve etkilenen sistemlerde bulunan verinin doğasını onaylayın.
Sağlık ve güvenlik, gelir üretimi veya diğer kritik hizmetler için hayati öneme sahip bilgi sistemlerini ve bağımlı oldukları sistemleri içeren önceden belirlenmiş kritik varlık listesine dayalı olarak onarım ve kurtarmayı önceliklendirin.
Etkilenen olmadığı düşünülen sistemleri ve cihazları izleyin, böylece onarım ve kurtarma için önceliklendirmeleri kaldırabilirsiniz. Bu, organizasyonunuzun işe daha etkili bir şekilde dönmesini sağlar.
Mevcut organizasyonel tespit veya önleme sistemlerini (örneğin, antivirüs, EDR, IDS, Saldırı Önleme Sistemi) ve günlükleri inceleyin. Bu, saldırının daha önceki aşamalarında dahil olan ek sistemlerin veya kötü amaçlı yazılımların delillerini ortaya çıkarabilir.
Önce “dropper” kötü amaçlı yazılımın, örneğin Bumblebee, Dridex, Emotet, QakBot veya Anchor gibi, kanıtlarını arayın. Bir fidye yazılımı olayı, önceki çözülememiş bir ağ ihlalinin kanıtı olabilir.
Bu gelişmiş kötü amaçlı yazılım türlerinin operatörleri genellikle bir ağa erişimi satışa çıkarır. Kötü niyetli aktörler bazen bu erişimi kullanarak veri dışa çıkarır ve ardından ağı fidye vermek üzere şantaj yapmadan önce veriyi kamuya açıklama tehdidinde bulunurlar.
Kötü niyetli aktörler sık sık fidye yazılımı varyantlarını bırakarak sonradan kompromis edilmiş etkinliği gizlemeye çalışır. Devam eden ihlalleri önlemek için yedeklerden yeniden oluşturmadan önce böyle bir "dropper" kötü amaçlı yazılımı tanımlamak önemlidir.
Takımınızla görüşerek ve başlangıç analizine dayalı olarak ne olduğu hakkında ilk bir anlayış geliştirerek belgeleme yapın.
Tehdit avı faaliyetlerini başlatın.
Kurumsal ortamlar için şunları kontrol edin:
Yeni oluşturulan AD hesapları veya ayrıcalıklarını yükselten hesaplar ve Alan Yöneticileri gibi ayrıcalıklı hesaplarla ilgili son etkinlik.
Anormal VPN cihazı girişleri veya diğer şüpheli girişler.
Yedeklemeleri, gölge kopyayı, disk günlüğünü veya önyükleme yapılandırmalarını etkileyebilecek uç nokta değişiklikleri. bcdedit.exe, fsutil.exe (deletejournal), vssadmin.exe, wbadmin.exe ve wmic.exe (shadowcopy veya shadowstorage) gibi yerleşik Windows araçlarının anormal kullanımını arayın. Bu araçların yanlış kullanımı, sistem kurtarmayı engellemek için yaygın bir fidye yazılımı tekniğidir.
Cobalt Strike beacon/client varlığı belirtileri. Cobalt Strike, bir ticari penetrasyon testi yazılım paketidir. Kötü niyetli aktörler genellikle Cobalt Strike Windows süreçlerine, yasal Windows süreçlerinin adlarını kullanarak varlıklarını gizlemeye ve soruşturmaları karmaşıklaştırmaya çalışırlar.
Uzaktan izleme ve yönetim (RMM) yazılımının beklenmedik kullanım belirtileri (kurulu olmayan taşınabilir yürütülebilir dosyalar dahil). RMM yazılımı, kötü niyetli aktörler tarafından sürekliliği sürdürmek için yaygın olarak kullanılır.
Beklenmedik PowerShell yürütme veya PsTools paketi kullanım belirtileri.
AD ve/veya LSASS kimlik bilgilerinin (örneğin, Mimikatz veya NTDSutil.exe ile) döküldüğü belirtiler.
Beklenmedik uç nokta-üç nokta (sunucular dahil) iletişim belirtileri.
Ağdan veri dışa çıkarılmasının potansiyel belirtileri. Veri dışa çıkarmak için yaygın araçlar arasında Rclone, Rsync, çeşitli web tabanlı dosya depolama hizmetleri (ayrıca tehdit aktörleri tarafından etkilenen ağa kötü amaçlı yazılım/araç yerleştirmek için kullanılır) ve FTP/SFTP bulunur.
Yeni oluşturulan hizmetler, beklenmeyen zamanlanmış görevler, beklenmeyen yazılım yüklemeleri vb.
Bulut ortamları için:
IAM, ağ güvenliği ve veri koruma kaynaklarına yapılan değişiklikleri tespit etmek ve engellemek için araçları etkinleştirin.
Yaygın sorunları (örneğin, özellikleri devre dışı bırakma, yeni güvenlik duvarı kurallarının eklenmesi) tespit etmek için otomasyonu kullanın ve bunlar meydana geldiğinde otomatik eylemler alın. Örneğin, açık trafiği (0.0.0.0/0) izin veren yeni bir güvenlik duvarı kuralı oluşturulursa, bu kuralı devre dışı bırakmak veya silmek ve bunu oluşturan kullanıcı ile farkındalık için güvenlik ekibine bildirimler göndermek için otomatik bir eylem alınabilir. Bu, uyarı yorgunluğunu önlemeye yardımcı olacak ve güvenlik personelinin kritik konulara odaklanmasına olanak tanıyacaktır.
Raporlama ve Bildirim
İç ve dış ekipleri ve paydaşları içeren siber olay yanıtı ve iletişim planınızda belirtilen bildirim gereksinimlerini takip ederek olayı hafifletme, yanıt verme ve iyileşme süreçlerinize yardımcı olabilecek iç ve dış ekipleri ve paydaşları bilgilendirin.
Zamanında ve ilgili yardım almak için elinizdeki bilgileri paylaşın. Durum geliştikçe yönetimi ve üst düzey liderleri düzenli güncellemelerle bilgilendirin. İlgili paydaşlar arasında IT departmanınız, yönetilen güvenlik hizmeti sağlayıcıları, siber sigorta şirketi ve bölgesel veya seçilmiş liderler olabilir.
Olayı BTK'ya, yerel Cumhuriyet Savcılıklarına alan ofisinize, USOM'a İnternet Suçları Şikayet Merkezi veya yerel Polise Servis alan ofisinize bildirin ve yardım talep etmeyi düşünün.
Gerekirse, iletişim ve kamu bilgilendirme personeliyle koordine ederek doğru bilgilerin kuruluş içinde ve kamuoyuyla paylaşılmasını sağlayın.
Eğer olay veri ihlaline yol açtıysa, siber olay yanıtı ve iletişim planlarınızda belirtilen bildirim gereksinimlerini takip edin.
Sınırlama ve Yok Etme
Eğer başlangıçta bir müdahale mümkün değilse:
Etkilenen cihazların örneklerinin (örneğin, iş istasyonları, sunucular, sanal sunucular ve bulut sunucuları) bir sistem görüntüsü ve bellek yakalaması yapın. Herhangi ilgili günlükleri, "dropper" kötü amaçlı yazılım ikili dosyalarının örneklerini ve ilgili gözlemlenebilirleri veya ihlal belirtilerini (örneğin, şüpheli komuta ve kontrol IP adresleri, şüpheli kayıt defteri girişleri veya tespit edilen diğer ilgili dosyalar) toplayın. Aşağıdaki kişiler, bu görevleri gerçekleştirmenize yardımcı olabilir.
Kaybolma veya müdahaleyi önlemek için doğası gereği yüksek volatiliteye sahip olan delilleri koruyun (örneğin, sistem belleği, Windows Güvenlik günlükleri, güvenlik duvarı günlük tamponlarındaki veriler).
Müdahale mümkün değilse bile federal yasal yetkililere başvurun; bazı ransomware varyantları için güvenlik araştırmacıları, şifreleme hatalarını keşfetmiş ve bazı ransomware türleri için şifre çözme veya diğer türde araçlar yayınlamış olabilir.
Olayı sınırlamak ve hafifletmek için adımlara devam etmek için:
Güvenilir rehberlikleri araştırın (örneğin, Türkiye Cumhuriyeti Hükümeti, veya saygın bir güvenlik sağlayıcısı tarafından yayınlananlar) belirli ransomware türü için ve etkilenen sistemleri veya ağları tanımlamak ve sınırlamak için önerilen ek adımları izleyin.
Bilinen ransomware ikili dosyalarını kapatın veya devre dışı bırakın; bu, sistemlerinize verilen zararı ve etkiyi en aza indirecektir. Diğer bilinen ilişkili kayıt defteri değerlerini ve dosyalarını silin.
İlk ihlale karışan sistemleri ve hesapları belirleyin. Bu, e-posta hesaplarını içerebilir.
Yukarıda belirlenen ihlal veya kompromis ayrıntılarına dayanarak, devam eden yetkisiz erişim için kullanılabilecek ilişkili sistemleri belirleyin. İhlaller genellikle küresel kimlik bilgisi çalma içerir. Ağları ve diğer bilgi kaynaklarını devam eden kimlik tabanlı yetkisiz erişime karşı güvenli hale getirmek, sanal özel ağları, uzaktan erişim sunucularını, tek oturum kaynaklarını ve bulut tabanlı veya diğer dışa dönük varlıkları devre dışı bırakmayı içerebilir.
Eğer bir enfekte iş istasyonu tarafından sunucu tarafındaki veri şifreleniyorsa, sunucu tarafındaki veri şifreleme hızlı tanımlama adımlarını izleyin.
İlgili sunucularda Computer Management > Sessions ve Open Files listelerini inceleyerek bu dosyalara erişimi olan kullanıcıyı veya sistemi belirleyin.
Şifrelenmiş dosyaların veya fidye notlarının dosya özelliklerini inceleyerek dosya sahipliği ile ilişkilendirilebilecek belirli kullanıcıları belirleyin.
RDP ağ bağlantıları için başarılı bağlantıları kontrol etmek için TerminalServices-RemoteConnectionManager olay günlüğünü inceleyin.
Windows Güvenlik günlüğü, SMB olay günlükleri ve önemli kimlik doğrulama veya erişim olaylarını belirleyebilecek diğer günlükleri inceleyin.
Etkilenen sunucuda, smb2.filename contains cryptxxx gibi dosya yazma veya yeniden adlandırma ile aktif olarak ilgilenen IP adreslerini belirlemek için Wireshark
Kurtarma ve Olay Sonrası Faaliyet
Önceliklendirilmiş kritik hizmetlere dayalı olarak çevrimdışı, şifrelenmiş yedeklerden sistemleri yeniden bağlayın ve veriyi geri yükleyin.
Kurtarma sırasında temiz sistemleri tekrar enfekte etmemeye özen gösterin. Örneğin, kurtarma amaçları için yeni bir Sanal Yerel Alan Ağı (VLAN) oluşturulmuşsa, yalnızca temiz sistemlerin eklenmesini sağlayın.
Olaydan öğrenilen dersleri ve ilgili yanıt faaliyetlerini belgeleyin; bu, kuruluş politikalarını, planlarını ve prosedürlerini güncellemek ve iyileştirmek, gelecekteki aynı türden uygulamaları yönlendirmek için kullanılabilir.
Bu metin CSAI'den ototmatik çevirilmiştir
---
10$ 20$ istiyenlerin yöntemini buldum
Fidye yazılımları bilgisayarınız ve mobil cihazlarınızı kitleyen ve dijital dosyalarınızı şifreleyen bir zararlı yazılım tipidir. Bu gerçekleştiğinde fidye ödemezseniz bilgilerinize ulaşamassınız. Ancak bilgilerinize ulaşabileceğinizin garantisi asla yoktur ve hiç bir zaman fidye ödememelisiniz!
www.nomoreransom.org
site bu, türkçe de var.
bir çok fidye yazılımı için çözüm programlarıda mevcut
site hollanda polisine bağlı güvenilir iki resim ya da iki dosya ve fidye notu istiyorlar.
---
www.cisa.gov
KONU HAKKINDA KAYNAKLAR
CSIA : https://www.cisa.gov/stopransomware
---
CSI : Ransomware, bir cihazdaki dosyaları şifreleyen ve bu dosyaları ve onlara bağımlı sistemleri kullanılamaz hale getiren bir tür kötü amaçlı yazılımdır. Kötü niyetli aktörler daha sonra şifre çözme karşılığında fidye talep eder.
https://media.defense.gov/2023/May/23/2003227891/-1/-1/0/CSI-StopRansomware-Guide.PDF
----
NIST SİBER GÜVENLİK : https://www.nist.gov/itl/smallbusinesscyber/nist-cybersecurity-framework-0
----
Dünyada yaşanmış olan siber saldırılar nasıl oldu, hangi taktik ve teknikler kullanıldı : MITRE ATT&CK Framework
---
Global Network Security Information Sharing Community : SANS Internet Storm Center
---
Ransomware ve diğer tehditlere karşı bilgi edinmek için : BleepingComputer
Rehber'de sağlanan aşağıdaki kontrol listesini kullanmanızı şiddetle önermektedir.
Bu bilgiler, tespitten başlayarak kontrol altına alma ve yok etme sürecini sizinle paylaşacaktır.
İlk üç adımı sırayla takip ettiğinizden emin olun.
Tespit ve Analiz
Ransomware tarafından oluşturulan riskle başa çıkmak ve ransomware olayına koordineli ve etkili bir yanıt sağlamak için aşağıdaki en iyi uygulama ve referanslara başvurun. Bu uygulamaları, kuruluşunuzun kaynaklarının mevcudiyetine dayanarak mümkün olduğunca geniş bir şekilde uygulayın.
Etkilenen sistemleri belirleyin ve hemen izole edin.
Birçok sistem veya alt ağ etkilendiyse, ağı anahtar seviyesinde çevrimdışı alın. Bir olay sırasında bireysel sistemleri bağlamak mümkün olmayabilir.
Günlük operasyonlar için hayati öneme sahip olan kritik sistemleri izole etmeye öncelik verin.
Ağı geçici olarak çevrimdışı almak hemen mümkün değilse, ağ kablosunu (örneğin, ethernet) bulun ve etkilenen cihazları ağdan çıkarın veya enfeksiyonu sınırlamak için Wi-Fi'dan uzaklaştırın.
Bulut kaynakları için, sonradan incelenmek üzere bir nokta kopyası almak için birimlerin bir anlık görüntüsünü alın.
İlk bir saldırıdan sonra, kötü niyetli aktörler, eylemlerinin tespit edilip edilmediğini anlamak için kuruluşunuzun faaliyetlerini veya iletişimini izleyebilir.
Sistemleri koordine bir şekilde izole edin ve aktörlerin keşfedildiğini ve önleme eylemlerinin yapıldığını anlamalarını engellemek için telefon aramaları gibi dış-bant iletişim yöntemlerini kullanın.
Bunu yapmamak, aktörlerin erişimlerini korumak veya ağlar çevrimdışı alınmadan önce geniş çaplı ransomware dağıtmak için hareket etmelerine neden olabilir.
Eğer cihazları ağdan bağlantısını kesemiyorsanız, ransomware enfeksiyonunun daha fazla yayılmasını önlemek için cihazları kapatın.
Not: Bu adım, ağ geçici olarak kapatılamıyorsa veya etkilenen ana bilgisayarlar başka bir şekilde ağdan ayrılamıyorsa yalnızca gerçekleştirilmelidir.
Etkilenen sistemleri onarım ve kurtarma için önceliklendirin.
Temiz bir ağda onarım için kritik sistemleri belirleyin ve etkilenen sistemlerde bulunan verinin doğasını onaylayın.
Sağlık ve güvenlik, gelir üretimi veya diğer kritik hizmetler için hayati öneme sahip bilgi sistemlerini ve bağımlı oldukları sistemleri içeren önceden belirlenmiş kritik varlık listesine dayalı olarak onarım ve kurtarmayı önceliklendirin.
Etkilenen olmadığı düşünülen sistemleri ve cihazları izleyin, böylece onarım ve kurtarma için önceliklendirmeleri kaldırabilirsiniz. Bu, organizasyonunuzun işe daha etkili bir şekilde dönmesini sağlar.
Mevcut organizasyonel tespit veya önleme sistemlerini (örneğin, antivirüs, EDR, IDS, Saldırı Önleme Sistemi) ve günlükleri inceleyin. Bu, saldırının daha önceki aşamalarında dahil olan ek sistemlerin veya kötü amaçlı yazılımların delillerini ortaya çıkarabilir.
Önce “dropper” kötü amaçlı yazılımın, örneğin Bumblebee, Dridex, Emotet, QakBot veya Anchor gibi, kanıtlarını arayın. Bir fidye yazılımı olayı, önceki çözülememiş bir ağ ihlalinin kanıtı olabilir.
Bu gelişmiş kötü amaçlı yazılım türlerinin operatörleri genellikle bir ağa erişimi satışa çıkarır. Kötü niyetli aktörler bazen bu erişimi kullanarak veri dışa çıkarır ve ardından ağı fidye vermek üzere şantaj yapmadan önce veriyi kamuya açıklama tehdidinde bulunurlar.
Kötü niyetli aktörler sık sık fidye yazılımı varyantlarını bırakarak sonradan kompromis edilmiş etkinliği gizlemeye çalışır. Devam eden ihlalleri önlemek için yedeklerden yeniden oluşturmadan önce böyle bir "dropper" kötü amaçlı yazılımı tanımlamak önemlidir.
Takımınızla görüşerek ve başlangıç analizine dayalı olarak ne olduğu hakkında ilk bir anlayış geliştirerek belgeleme yapın.
Tehdit avı faaliyetlerini başlatın.
Kurumsal ortamlar için şunları kontrol edin:
Yeni oluşturulan AD hesapları veya ayrıcalıklarını yükselten hesaplar ve Alan Yöneticileri gibi ayrıcalıklı hesaplarla ilgili son etkinlik.
Anormal VPN cihazı girişleri veya diğer şüpheli girişler.
Yedeklemeleri, gölge kopyayı, disk günlüğünü veya önyükleme yapılandırmalarını etkileyebilecek uç nokta değişiklikleri. bcdedit.exe, fsutil.exe (deletejournal), vssadmin.exe, wbadmin.exe ve wmic.exe (shadowcopy veya shadowstorage) gibi yerleşik Windows araçlarının anormal kullanımını arayın. Bu araçların yanlış kullanımı, sistem kurtarmayı engellemek için yaygın bir fidye yazılımı tekniğidir.
Cobalt Strike beacon/client varlığı belirtileri. Cobalt Strike, bir ticari penetrasyon testi yazılım paketidir. Kötü niyetli aktörler genellikle Cobalt Strike Windows süreçlerine, yasal Windows süreçlerinin adlarını kullanarak varlıklarını gizlemeye ve soruşturmaları karmaşıklaştırmaya çalışırlar.
Uzaktan izleme ve yönetim (RMM) yazılımının beklenmedik kullanım belirtileri (kurulu olmayan taşınabilir yürütülebilir dosyalar dahil). RMM yazılımı, kötü niyetli aktörler tarafından sürekliliği sürdürmek için yaygın olarak kullanılır.
Beklenmedik PowerShell yürütme veya PsTools paketi kullanım belirtileri.
AD ve/veya LSASS kimlik bilgilerinin (örneğin, Mimikatz veya NTDSutil.exe ile) döküldüğü belirtiler.
Beklenmedik uç nokta-üç nokta (sunucular dahil) iletişim belirtileri.
Ağdan veri dışa çıkarılmasının potansiyel belirtileri. Veri dışa çıkarmak için yaygın araçlar arasında Rclone, Rsync, çeşitli web tabanlı dosya depolama hizmetleri (ayrıca tehdit aktörleri tarafından etkilenen ağa kötü amaçlı yazılım/araç yerleştirmek için kullanılır) ve FTP/SFTP bulunur.
Yeni oluşturulan hizmetler, beklenmeyen zamanlanmış görevler, beklenmeyen yazılım yüklemeleri vb.
Bulut ortamları için:
IAM, ağ güvenliği ve veri koruma kaynaklarına yapılan değişiklikleri tespit etmek ve engellemek için araçları etkinleştirin.
Yaygın sorunları (örneğin, özellikleri devre dışı bırakma, yeni güvenlik duvarı kurallarının eklenmesi) tespit etmek için otomasyonu kullanın ve bunlar meydana geldiğinde otomatik eylemler alın. Örneğin, açık trafiği (0.0.0.0/0) izin veren yeni bir güvenlik duvarı kuralı oluşturulursa, bu kuralı devre dışı bırakmak veya silmek ve bunu oluşturan kullanıcı ile farkındalık için güvenlik ekibine bildirimler göndermek için otomatik bir eylem alınabilir. Bu, uyarı yorgunluğunu önlemeye yardımcı olacak ve güvenlik personelinin kritik konulara odaklanmasına olanak tanıyacaktır.
Raporlama ve Bildirim
İç ve dış ekipleri ve paydaşları içeren siber olay yanıtı ve iletişim planınızda belirtilen bildirim gereksinimlerini takip ederek olayı hafifletme, yanıt verme ve iyileşme süreçlerinize yardımcı olabilecek iç ve dış ekipleri ve paydaşları bilgilendirin.
Zamanında ve ilgili yardım almak için elinizdeki bilgileri paylaşın. Durum geliştikçe yönetimi ve üst düzey liderleri düzenli güncellemelerle bilgilendirin. İlgili paydaşlar arasında IT departmanınız, yönetilen güvenlik hizmeti sağlayıcıları, siber sigorta şirketi ve bölgesel veya seçilmiş liderler olabilir.
Olayı BTK'ya, yerel Cumhuriyet Savcılıklarına alan ofisinize, USOM'a İnternet Suçları Şikayet Merkezi veya yerel Polise Servis alan ofisinize bildirin ve yardım talep etmeyi düşünün.
Gerekirse, iletişim ve kamu bilgilendirme personeliyle koordine ederek doğru bilgilerin kuruluş içinde ve kamuoyuyla paylaşılmasını sağlayın.
Eğer olay veri ihlaline yol açtıysa, siber olay yanıtı ve iletişim planlarınızda belirtilen bildirim gereksinimlerini takip edin.
Sınırlama ve Yok Etme
Eğer başlangıçta bir müdahale mümkün değilse:
Etkilenen cihazların örneklerinin (örneğin, iş istasyonları, sunucular, sanal sunucular ve bulut sunucuları) bir sistem görüntüsü ve bellek yakalaması yapın. Herhangi ilgili günlükleri, "dropper" kötü amaçlı yazılım ikili dosyalarının örneklerini ve ilgili gözlemlenebilirleri veya ihlal belirtilerini (örneğin, şüpheli komuta ve kontrol IP adresleri, şüpheli kayıt defteri girişleri veya tespit edilen diğer ilgili dosyalar) toplayın. Aşağıdaki kişiler, bu görevleri gerçekleştirmenize yardımcı olabilir.
Kaybolma veya müdahaleyi önlemek için doğası gereği yüksek volatiliteye sahip olan delilleri koruyun (örneğin, sistem belleği, Windows Güvenlik günlükleri, güvenlik duvarı günlük tamponlarındaki veriler).
Müdahale mümkün değilse bile federal yasal yetkililere başvurun; bazı ransomware varyantları için güvenlik araştırmacıları, şifreleme hatalarını keşfetmiş ve bazı ransomware türleri için şifre çözme veya diğer türde araçlar yayınlamış olabilir.
Olayı sınırlamak ve hafifletmek için adımlara devam etmek için:
Güvenilir rehberlikleri araştırın (örneğin, Türkiye Cumhuriyeti Hükümeti, veya saygın bir güvenlik sağlayıcısı tarafından yayınlananlar) belirli ransomware türü için ve etkilenen sistemleri veya ağları tanımlamak ve sınırlamak için önerilen ek adımları izleyin.
Bilinen ransomware ikili dosyalarını kapatın veya devre dışı bırakın; bu, sistemlerinize verilen zararı ve etkiyi en aza indirecektir. Diğer bilinen ilişkili kayıt defteri değerlerini ve dosyalarını silin.
İlk ihlale karışan sistemleri ve hesapları belirleyin. Bu, e-posta hesaplarını içerebilir.
Yukarıda belirlenen ihlal veya kompromis ayrıntılarına dayanarak, devam eden yetkisiz erişim için kullanılabilecek ilişkili sistemleri belirleyin. İhlaller genellikle küresel kimlik bilgisi çalma içerir. Ağları ve diğer bilgi kaynaklarını devam eden kimlik tabanlı yetkisiz erişime karşı güvenli hale getirmek, sanal özel ağları, uzaktan erişim sunucularını, tek oturum kaynaklarını ve bulut tabanlı veya diğer dışa dönük varlıkları devre dışı bırakmayı içerebilir.
Eğer bir enfekte iş istasyonu tarafından sunucu tarafındaki veri şifreleniyorsa, sunucu tarafındaki veri şifreleme hızlı tanımlama adımlarını izleyin.
İlgili sunucularda Computer Management > Sessions ve Open Files listelerini inceleyerek bu dosyalara erişimi olan kullanıcıyı veya sistemi belirleyin.
Şifrelenmiş dosyaların veya fidye notlarının dosya özelliklerini inceleyerek dosya sahipliği ile ilişkilendirilebilecek belirli kullanıcıları belirleyin.
RDP ağ bağlantıları için başarılı bağlantıları kontrol etmek için TerminalServices-RemoteConnectionManager olay günlüğünü inceleyin.
Windows Güvenlik günlüğü, SMB olay günlükleri ve önemli kimlik doğrulama veya erişim olaylarını belirleyebilecek diğer günlükleri inceleyin.
Etkilenen sunucuda, smb2.filename contains cryptxxx gibi dosya yazma veya yeniden adlandırma ile aktif olarak ilgilenen IP adreslerini belirlemek için Wireshark
Kurtarma ve Olay Sonrası Faaliyet
Önceliklendirilmiş kritik hizmetlere dayalı olarak çevrimdışı, şifrelenmiş yedeklerden sistemleri yeniden bağlayın ve veriyi geri yükleyin.
Kurtarma sırasında temiz sistemleri tekrar enfekte etmemeye özen gösterin. Örneğin, kurtarma amaçları için yeni bir Sanal Yerel Alan Ağı (VLAN) oluşturulmuşsa, yalnızca temiz sistemlerin eklenmesini sağlayın.
Olaydan öğrenilen dersleri ve ilgili yanıt faaliyetlerini belgeleyin; bu, kuruluş politikalarını, planlarını ve prosedürlerini güncellemek ve iyileştirmek, gelecekteki aynı türden uygulamaları yönlendirmek için kullanılabilir.
Bu metin CSAI'den ototmatik çevirilmiştir
---
10$ 20$ istiyenlerin yöntemini buldum
Anasayfa | The No More Ransom Project
Fidye yazılımları bilgisayarınız ve mobil cihazlarınızı kitleyen ve dijital dosyalarınızı şifreleyen bir zararlı yazılım tipidir. Bu gerçekleştiğinde fidye ödemezseniz bilgilerinize ulaşamassınız. Ancak bilgilerinize ulaşabileceğinizin garantisi asla yoktur ve hiç bir zaman fidye ödememelisiniz!
site bu, türkçe de var.
bir çok fidye yazılımı için çözüm programlarıda mevcut
site hollanda polisine bağlı güvenilir iki resim ya da iki dosya ve fidye notu istiyorlar.
---
I've Been Hit By Ransomware! | CISA
The Cybersecurity and Infrastructure Security Agency (CISA) strongly recommends responding to ransomware by using the following checklist provided in a Joint CISA and Multi-State Information Sharing and Analysis Center (MS-ISAC) Ransomware Guide. This information will take you through the...
www.cisa.gov
KONU HAKKINDA KAYNAKLAR
CSIA : https://www.cisa.gov/stopransomware
---
CSI : Ransomware, bir cihazdaki dosyaları şifreleyen ve bu dosyaları ve onlara bağımlı sistemleri kullanılamaz hale getiren bir tür kötü amaçlı yazılımdır. Kötü niyetli aktörler daha sonra şifre çözme karşılığında fidye talep eder.
https://media.defense.gov/2023/May/23/2003227891/-1/-1/0/CSI-StopRansomware-Guide.PDF
----
NIST SİBER GÜVENLİK : https://www.nist.gov/itl/smallbusinesscyber/nist-cybersecurity-framework-0
----
Dünyada yaşanmış olan siber saldırılar nasıl oldu, hangi taktik ve teknikler kullanıldı : MITRE ATT&CK Framework
---
Global Network Security Information Sharing Community : SANS Internet Storm Center
---
Ransomware ve diğer tehditlere karşı bilgi edinmek için : BleepingComputer
Son düzenleme:
