Fidye virüslerinin etkisi gün geçtikçe artmaktadır. Fidye virüslerinin etkisini en aza indirmek için enfeksiyon yaşanmadan önce neler yapılmalıdır? Fidye virüsleri nasıl tanınır? Enfekte olmuş makinelerde neler yapılmalı? Enfeksiyon sonrasında neler yapılmalı? Fidye Virüslerinden Korunma Rehberi www.cioturkey.org 1 Önceden Yapılacaklar İşletim sistemlerinin güvenlik yamalarının yüklenilmiş olmasına dikkat edilmelidir. Kullanıcılar, bilgisayarlarında local admin olmamalıdır. Gereksiz uygulamalar ve servisler kaldırılmalıdır. Mümkünse host tabanlı IDS/IPS kullanılmalıdır. Mümkünse Endpoint seviyesinde web ve spam filtering kullanılmalıdır. Mümkünse USB portları kullanıma kapatılmalıdır. Mümkünse çalışanlara virtual desktop sunulmalı. Dosyaların bulunduğu diskte Shadow Copy aktif hale getirilmelidir. Bazı virüs varyantlarının, shadow copy versiyonlarını silmesini engellemek için %WinDir%\system32\ altındaki shadow copy yönetimini gerçekleştiren vssadmin.exe aracının adı değiştirilmelidir. Endpoint, Firewall, Proxy, E-mail Gateway gibi ürünler kullanılıp, güncel tutularak perimetrik koruma sağlanmalıdır. Klasik güvenlik cihazları yerine sandboxing yapan ürünler tercih edilmelidir. Endpoint koruma uygulamalarının güncel olmasına dikkat edilmelidir. Güvenlik cihazlarında js, exe gibi dosya tiplerinin mail ile iletimi engellenmelidir. Mümkünse policy ile son kullanıcıların makroları etkinleştirmesi engellenmeli. %ALLUSERSPROFILE% veya %APPDATA% gibi virüs dosyalarının kopyalandığı alanlarda, exe gibi yürütülebilir dosyaların çalıştırılması engellenmeli. USOM listeleri veya Tehdit İstihbaratı hizmeti alınarak, fidye virüsü saldırısı yapılan/yapılacak domain ve IP’ler bloklanmalıdır. BT destek personelleri ve tüm son kullanıcılar, fidye virüsleri hakkında bilgilendirilerek, farkındalık artırılmalıdır. Önemli dosyaların bilgisayarlarda değil dosya sunucusunda saklanması konusunda kullanıcılar bilgilendirilmelidir. Dosya sunucusunu, kullanıcı bilgisayarlarına disk olarak eklemekten kaçınılmalıdır. Doğrudan bağlantı verilmesi gerekiyor ise kısayol olarak bağlantı sağlanmalıdır. Kullanıcılar, dosya sunucusundaki klasörlerde “minimum ayrıcalık” prensibine göre yetkilendirilmelidir. Klasik dosya sunucuları yerine SharePoint gibi doküman yönetim sistemleri kullanılmalıdır. Dosyaların istenilen güncellikte olacak şekilde güvenilir yedekleri alınmalıdır. Yedeklemede 3-2-1 stratejisi uygulanmalıdır. En az 3 yedek kopyası olmalı. 2 yedek kopyası materyali(Bant, offline disk, online disk, cloud vb.) farklı olmalı. 1 yedek kopyası offline olmalı. Alınan yedekler, belirli periyotlarda test edilerek, yedeklemenin doğru çalıştığı teyit edilmeli. CIOTURKEY 1 2 Fidye Virüslerini Tanıma Genellikle “yüksek miktarda görünen fatura, hediye kazandınız, adınıza kargo var” gibi başlıklar ile mail içerisinde verilen bir link veya maile eklenmiş bir dosya ile bulaşmaktadır. Virüs bulaştığında masa üstüne veya şifrelediği dosyaların bulunduğu klasörlere dosyaların nasıl şifrelendiğini, ödeme yapılacak bitcoin miktarını ve nasıl ödeme yapılacağını açıklayan txt veya html uzantılı bir dosya ile not bırakır. Bazı fidye virüsü varyantları, bilgisayar arka planı resmini, yukarıdaki açıklamaların yer alacağı şekilde değiştirir. Kullanıcı bilgisayarındaki ve erişimi olduğu paylaşımlı klasörlerdeki dosyaların uzantısı, bilinmeyen bir dosya uzantısı ile değiştirilir. 3 Enfekte Olmuş Makinelerde Yapılacaklar Virüsün aktif edildiği makinelerin çıkış trafiği izlenerek komuta kontrol merkezleri tespit edilmeli ve bloklanmalıdır. Enfekte olan bütün makinelerin ağ bağlantısı kesilmelidir. Enfekte olmuş makinelere bağlanmış paylaşımlı alanlar var ise kaldırılmalıdır. Enfekte olan makinelerde Task Manager’dan bilinmeyen proseslerin çalışıp çalışmadığı tespit edilmelidir. Olağan dışı çalışan proses var ise dumpı alınarak, debug edilir ve virüsün neler yaptığı tespit edilir. Virüslerin bıraktığı bilgilendirme dosyaları ve şifrelenmiş dosyaların uzantısı incelenerek, bulaşan virüsün varyantı tespit edilmeye çalışılır. CIOTURKEY 2 4 Enfeksiyon Sonrası Yapılacaklar Vssadmin.exe aracının ismi değiştirilmiş ise orijinal haline getirilir. Shadow Explorer kullanılarak, enfeksiyon öncesi bir tarihe shadow copyden dönmeye çalışılır. Kaspersky, Emsisoft, TrendMicro gibi firmaların bazı varyantları decrypt eden araçları mevcuttur. Virüsün tipine göre şifrelenmiş dosyalar decrypt edilmeye çalışılır. Shadow Copy veya decryption araçları ile dosyaları geri getirmek mümkün değil ise ileride geliştirilecek muhtemel decrypt çözümleri için decrypt edilemeyen dosyalar offline bir alana alınmalıdır. Shadow Copy veya decryption araçları ile geri getirilen dosyalar offline bir alana alınır. Virüsün kopyaladığı dosyalar ve registry kayıtları silinmeli veya makineye format atılmalıdır. İlgili dosyaları ve kayıtları silme veya format sonrası makine trafiği izlenerek trafiğin normal olduğu teyit edilmelidir. İlgili dosyaları ve kayıtları silme veya format sonrası makinenin RAM, CPU ve Disk faaliyetleri incelenerek normal olduğu teyit edilmelidir. En güncel yedekten geri dönüş yapılmalıdır. Virüs, organizasyon içerisine oltalama maili ile ulaşmış ise gönderen domain bilgisi bloklanarak USOM’a bildirilmelidir. Zararlı URL’ler belirli bir formata uyuyor ise e-mail gatewaylerde format tanımlanarak engellenmelidir. Virüsün bulaşmasına sebep olan URL veya dosya, kullanılan endpoint hizmeti sağlayıcı ile paylaşılmalıdır. 5 Raporlama Enfeksiyon nasıl gerçekleşti tanımlanmalıdır. Enfeksiyon sonrası alınan aksiyonlar ve zaman çizelgesi çıkarılmalıdır. Enfeksiyon öncesi ve sonrasında neler doğru yapıldı neler yanlış yapıldı çıkarılmalıdır. Önceden Yapılacaklar listesindeki nelerin eksikliği enfeksiyona neden oldu, tanımlanmalıdır. Olay maliyeti çıkarılmalıdır. CIOTURKEY 3 @CIOTurkey CIOTURKEY 01.01.2017 4