Kurumsal Segmentte Fidye Yazılımlarına Karşı Koruma

Saldırıya karşı önlem almak için, kesinlikle bir antivirüs yazılımı kurmuş olmanız ve kurumsal ağınızın güvenliğini sağlamanız gerekmektedir.

Hangi dosyalar şifrelenmektedir? Fidye yazılımlar ağırlıklı olarak alttaki doya türlerini değiştirmektedir:

Dosya TürleriUzantılarDosya TürleriUzantılarDosya TürleriUzantılar
Dökümanlar.docSıkıştırılmışDosyalar.rarVeritabanları.mdb
.docx.zip.1cd
.pdf.7z.sqlite
.ppt.tar.sql
.pptx.gz
.rtf
.odt
.odp
.ods
.djvu
Görüntüler.jpgOynatıcılar.aviDiğer.kwm
.jpeg.mp3.iso
.bmp.wav.torrent
.gif.mkv.php
.png.flac.c
.psd.mp4.cpp
.cdr.mov.pas
.dwg.wmv.cer
.max.key
.3ds.pst
.lnk

Tamamen yeni bir fidye yazılım türü

Hackerler sürekli olarak fidye yazılımlarda kullandıkları teknolojileri geliştirmektedirler. Sadece dosya türlerini şifrelemekle kalmayıp, diskinizde bulunan işletim sistemi de dahil tüm bilgilerin yok olmasına sebep olacak sistem tablolarına da saldırmaktadırlar.

Şifrelenmiş dosyalar neden her zaman kırılamamaktadır?

Günümüz fidye yazılımları çok karışık yapıda bir şifrelemeye ve anahtar oluşturma şemalarına sahiptir. Veriler genelde AES algoritmasına göre şifrelenir ve şifreyi açacak AES anahtarının kendisi de RSA algoritmasına göre ikinci bir kez şifrelenir. Anahtarın kendisi ikinici bir defa şifrelenmemiş olsa bile AES-256 (128) algoritması ile şifrelenmiş bir veriyi kırmak günümüz bilgisayar teknolojisiyle bile imkansızdır.

Tüm bunlara ek zorluk olarak bir de şifreleme anahtarının her bir cihaz için yeniden oluşturulmasıdır. Böyle bir durumda bir bilgisayar için bir decryptor’a sahip olduğunuzda bunu diğer etkilenmiş bilgisayarlarınız için kullanamayacağınız anlamına gelmektedir.

Şifrelenmiş dosyaları kırmanın mümkün olduğu tek senaryolar, hackerlar tarafından kullanılan algoritmanın kendi algoritmaları olması veya hata barındıran algoritmalar kullanıyor olmalarından geçiyor. Zararlı yazılımların sıkça depolandığı konumlar Fidye yazılımlar sıklıkla aşağıdaki konumlarda görülmektedir

Lokasyon (konum)Adres ŞablonuNot
APPDATADrive:\Documents and Settings\%UserName%\Application Data\Drive:\Users\%UserName%\AppData\Roaming\“%USERPROFILE%\AppData\Local”“%USERPROFILE%\Local Settings\Application Data”for NT/2000/XP for Vista/7/8 for Vista/7/8 for NT/2000/XP
TEMP (temporary system directory)%TEMP%\???????.tmp\%TEMP%\???????.tmp\??\%TEMP%\???????\%WINDIR%\TempÖrnek: temp\vum35 a5.tmpÖrnek: temp\7ze5418.tmp\mpÖrnek: temp\pcrdd2 7
Web tarayıcılarının geçici konumları“%USERPROFILE%\Local Settings\Temporary Internet Files\”“%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\”..\temporary internet files\content.ie5\..\temporary internet files\content.ie5\????????\NT/2000/XP içinVista/7/8 için“?” = a-z, 0-9
Masaüstü“%UserProfile%\Desktop\”
Geri dönüşüm kutusuDrive:\Recycler\Drive:\$Recycle.Bin\Drive:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000“?” = 0-9
Windows sistem konumu“%WinDir%”“%SystemRoot%\system32\”
Kullanıcı klasörleri konumu%USERPROFILE%\MyDocuments\%USERPROFILE%\MyDocuments\Downloads
Tarayıcılar tarafından indirilen dosya konumları%USERPROFILE%\Downloads
Başlangıç konumu%USERPROFILE%\Start Menu\Programs\Startup

Açık barındıran platformlar

Bilinmelidir ki günümüz fidye yazılımları sadece Windows tabanlı işletim sistemlerini etkilememektedirler. MAC Os çalıştıran

bilgisayarlar, akıllı telefonlar ya da Android çalıştıran tabletler ve sanal (VDI) yapılarda çalışan yazılımlarda risk altındadır. Bahsedilen bu cihazlar asıl hedef olmaksızın bir kurumsal ağa sızmak için zararlı kod sızıntısı gerçekleştirebilir. Böyle bir ihtimalin önüne geçebilmek için kurumsal kaynaklarınızı kullanan tüm cihazların güvenliğini sağlamak zorundasınız.


Saldırıya açık hale getiren sebepler

Kaspersky Lab tarafından yürütülen araştırmalar sonucunda, sistemlerde oluşan açıkların sebepleri aşağıdaki gibi bir dağılım göstermektedir.

% toplam sebeplerSızıntı Sebebi
37 %Zararlı yazılımı tespit edememe (yeni türler)
21 %48 %Güncellenmemiş Anti-Virüs sürümü
16 %Anti-Virüs yazılımının olmayışı
11 %Güncellenmemiş Anti-Virüs veritabanı
11 %Windows sunucularda son kullanıcı ürünlerinin kullanımı
5 %Anti-virüs koruması kısmen veya tamamen devredışı

Sıklıkla kullanılan koruma çözümleri her zaman %100 koruma sağlayamamaktadır. Riskleri minimize etmek için güvelik yazılımı düzgün bir şekilde yapılandırılmalıdır.

Araştırılan vakalarda kurbanların bilgisayarlarında “System Watcher” bileşenin devre dışı olduğu veya hiç kullanılmadığı ortaya çıkmıştır.


Fidye yazılımlara karşı koruma sağlama

Fidye yazılımlarına karşı efektif bir koruma sağlamanın yolu kurumsal ağın korunmasından geçmektedir.

IT güvenliği üzerine temel tavsiler

Çalışanların bilgi güvenliliği konusunda yeterliliği…

Bir şirketin en büyük güvelik zafiyeti çalışanlarıdır. Buna bağlı olarak çalışanlara bilgi güvenliği konusunda düzenli olarak ölçüm yapmak zorundasınız. Çalışanların, Phising e-postalara (balık avlama) karşı, şüpheli linklere tıklamaya ve diğer riskli davranışlara karşı bilinçlendirilmeleri gerekir.

Kullanıcıların ağ ve şirket kaynaklarına erişimini kısıtlayan kural ve rollerin kullanımı

System yöneticisi araçlarının her bir cihaza sızma riskini minimize etme ve saldırının tüm ağa bulaşmasını önlemek adına kullanılması:

Kullanıcıların görev ve sorumlulukların performansı adına tamamen bilinçli olmadıkça yerel yönetici hakkına sahip olmamaları gerekir.

Kullanıcıların iç networkte paylaşılmış klasörlerin tümünüe yazma haklarının olmaması gerekmektedir. Böyle bir senaryoda zararlı yazılımın bulaştığı bir bilgisayarın tüm ağ kaynaklarına zararlı kodu bulaştırmasının önüne geçilecektir.

Kullanıcıların görev ve sorumluluklarının performansı adına tamamen bilinçli olmamaları halinde şirketin dış ağ kaynaklarına erişimide kısıtlanmış olması gerekmektedir. Böyle bir senaryoda zararlı bir linke tıklanılması engellenir.


Verilerin düzenli olarak yedeklenmesi

Şifrelenmiş dosyaları kurtarabilmenin diğer bir yolu ise düzenli olarak yedek almaktır. Eğer yedek kopyaları mevcut ise bir fidye saldırısı durumunda saldırı kolayca bertaraf edilmiş olur.

Yedek oluşturma ve depolanmaları konusunda tavsiyeler

Bilinmelidir ki yedeklenmiş veriler de fidye yazılımları tarafından etkilenebilir. Günümüz fidye yazılımları, işletim sistemi tarafından alınan yedek kopyalarını da yok etmektedir. Böyle bir durumda işletim sisteminin almış olduğu yedeklerden dönmek imkansız hale gelmektedir.

Böyle bir durumla karşılaşmamak için aşağıda yer alan adımlar uygulanmalıdır;

Verilerinizi çıkarılıabilir sürüler veya blutu tabalı çözümler gibi bilgisayarların dışında tutmalısınız. Yedek kopyalarınızı şifrelenmiş kasalarda tutmalısınız.

Böyle bir durumda fidye yazılım yedeklerin bulunduğu konuma erişememektedir.

Ayrıca çok önemli verilerinizin bir fidye yazılım saldırısından etkilenmesi durumunda en güncel haline ulaşmanız açısından yedeğini daha sık aralıklarla almanız önemlidir.


İşletim sistemlerinin güncelleştirmeleri ve kurulumlarının düzenli takip edilmesi

Fidye yazılımlar, diğer tehditlerde olduğu gibi saldırı gerçekleştirdiğinde işletim sistemlerinin açıklarını ortaya çıkarmaktadır. İşletim sistemi üreticileri açıkları kapatmak için düzenli olarak güncelleştirmeler yayınlamaktadırlar. İşletim sistemlerinin güncelleştirmelerini düzenli olarak yüklemek potansiyel saldırıların önüne geçecektir.

Bu durum bilgisayarda çalışan diğer uygulamalar içinde geçerlidir. Bir çok uygulama hackerların potansiyel saldırıları için açıklar barındırmaktadır. Bu sebepten dolayı kullandığınız uygulamalarında güncelleştirmelerini takip edip kurmanız gerekmektedir. Yazılım üreticileri ürünlerindeki açıkları kapatmak için sürekli yama ve güncelleme yayınlamaktadırlar.


Antivirüs kurulumu ve güncellemelerinin düzenli takibi

Daha önce de belirtildiği gibi, fidye yazılımlar tarafından gerçekleştiren saldırıların başarısı bilgisayarda bulunan bir güvenlik çözümünün olmayışına ya da mevcut Anti-Virüs yazılımının veri tabanının güncel olmamasına bağlıdır. Dünya genelinde her bir dakikada çok büyük sayıda yeni tehditler ortaya çıkmaktadır. Çalıştırdıkları algoritmalar gün geçtikçe daha da kompleks ve akıllı hale gelmektedir. Bir Anti-Virüs yazılımını güncel veritabanlarıyla kullanarak, fidye yazılım tehditlerinden kurum ağı ve cihazlarını önemli ölçüde koruyabilirsiniz. Daha da iyisi mevcut güvenlik yazılımınızı düzgün bir şekilde yapılandırmanız henüz ortaya çıkmamış tehdit türlerine karşısında sizi bir adım önde tutar.

Bu dökümanın bundan sonraki kısmında Kaspersky Endpoint Security 10 ve Kaspersky Security for Windows Server 10 ürünlerinin fidye yazılımlarına karşı nasıl daha stabil bir koruma için yapılandırılacakları anlatılacaktır. (Henüz dijital imzaları ile tespit edilememiş olanlarda buna dahildir.)


Fidye yazılımlara karşı Kaspersky Lab ürünlerinin ayarlanması üzerine tavsiyeler

Kaspersky Endpoint Security 10 ve Kaspersky Security for Windows Server 10 olarak bilinen Kaspersky Lab ürünleri Fidye yazılımlarına karşı basit ayarlarla koruma sağlamayı garantilemektedir.

Son kullanıcı bilgisayarlarının korunması

Temel ayarlar

Aşağıda bir fidye yazılım saldırısında kullanıacak temel bileşenler bulunmaktadır:

Mail Anti-Virus – Gelen e-postalarda zararlı ekler içeren ekleri, phising linkleri ve e-posta içerisinde yer alan zararlı linkleri tarar.

Web Anti-Virus – Web trafiğini tarar ve tehlikeli web kaynaklarına erişimi engeller. File Anti-Virus – Yerel disk üzerindeki objeleri tarar

System Watcher – Sistemde bulunan uygulamaların davranışlarını analiz edip veritabanlarda bulunan zararlı yazılımların davranışlarının modellemesiyle karşılaştırır. Eğer bir uyum tespit ederse, zararlı yazılımın sistemde sebep olduğu değişikliği geri alır.

Altta bulunan bileşenlerin daha sağlıklı bir koruma adına ek ayarlara ihtiyacı bulunmamaktadır. Kaspersky Lab uzmanları tarafından yapılandırılan temel ayarları, uygulamanın versiyonunun ve veritabanın da güncel olduğu varsayımıyla fidye yazılımlara karşı sağlıklı çalışmaktadır.

Kaspersky Endpoint Security’nin ilke ayarlarında temel koruma bileşenlerinin seçili olduğundan emin olmalısınız.

Kaspersky Security Network Bilinmelidir ki bu kısma kadar bahsedilen tüm bileşenler Kaspersky Security Network’te (KSN) yer alan bulut veritabanından ve

spesifik dijital imzalardan yararlanmaktadır. Yeni bir zararlı yazılımın veritabanına eklenmesi ve bu veritabanından faydalanan tüm

kullanıcılara dağıtılması biraz zaman alsa da,yeni tehditler ile ilgili veriler anlık olarak KSN’e dahil edilmektedir. En güncel fidye

yazılımların verisi ürünlerin veritabanına daha henüz dahil edilmemişken bile bulut tabanlı veritabanı bu zararlı yazılımların tespit edilmesine yardımcı olur.

Yapılandırma talimatları

Kaspersky Security Center içerisinde yer alan

Kaspersky Endpoint Security ilkesini açın. Sol tarafta yer alan Anti-Virüs bölümünü açın. Bileşen isminin yanında yer alan kutucuğun işaretlenerek seçili ve kilidin kapalı olduğundan emin olun.

Diğer bileşenler için bu ayarları kontrol edin.

Ek ayarlar

Bu ayarlara ek olarak Application Startup Control ve Application Privilege Control bölümleri yapılandırılabilir. Bu bileşenler, bilinmeyen ve şüpheli uygulamaların hassas dosyalara ve dış ağınıza erişirken kullanılan izinleri ayarlamanızı ve bahsi geçen uygulamarı engellemenizi sağlar.

Uygulamaların Temp klasörlerinden ve çıkarılabilir disklerden başlamalarını engelleme

Daha önce de bahsedildiği gibi, birçok vakada, web’den veya e-postalardan gelen zararlı yazılımlar Appdata (Application Data), geçici sistem klasörü (TEMP) veya bir tarayıcının geçici dosyalarını barından bir klasörde başlatılmaktadır. Buna ek olarak zararlı bir yazılım, bilgisayara çıkarılabilir sürücülerden de bulaşablir.

Application Startup Control bu tür riskleri ortadan kaldırmaktadır. Korumayı iki aşamada düzgün bir şekilde yapılandırılabilir:

Bir uygulama kategorisi oluşturup, potansiyel tehlike teşkil eden konumları bu kategoriye ekleyebilirsiniz. İlke içerisinde bu kategoriye bağlı uygulamaların başlamasını engelleyecek kural oluşturabilirsiniz.

Yapılandırma talimatları

Kategori oluştur: Kaspersky Security Center içerisinden Application Management’ı (Uygulama yönetimi) seçin ardından Application Catogories’e (Uygulama Kategorileri) tıklayın.

Karşınıza çıkan penceredeki üstte bulunan Create a category’e (kategori oluştur) tıklayın ve New Category Wizard’da (yeni kategori sihirbazı) bulunan Category with content added manually’i (elle seçilmiş kategori) seçin.
Kategoriyi fidye yazılımlarını engelle olarak isimlendirin ve Next (ileri) butonuna basın.
Add (ekle) butonuna ardından da Application folder’ı (uygulama klasörü) seçin.
Maskeleme kullanarak yukarıda belirtilen yolları ekleyin.C:\Documents and Settings\*\ApplicationDataC:\Documents and Settings\*\LocalSettings\Application DataC:\Users\*\AppData\RoamingC:\Users\*\AppData\LocalC:\Windows\TempC:\Documents and Settings\*\LocalSettings\Temporary Internet Files
Çıkarılabilir sürücülerde başlatılacak uygulamaları engelleyin. Add’e (ekle) basıp Device type’ı (cihaz türü) seçerek yeni bir kural oluşturun.
Device type – Removable device’ın (cihaz türü – çıkarılabilir sürücüler) oluşturmuş olduğunuz kurallar listesinde gözüktüğünden emin olun.
İlke’ye engelleme kuralı ekleme:
Kaspersky Endpoint Security ayarlarını içeren ilkeyi açın ve Application Startup Control(Uygulama Başlatma Denetimi) bölümüne gelin.Bilinmelidir ki bu bölüm varsayılan olarak açık gelmemektedir. Bu bölüme erişebilmek için “Display of enpoint control settings” ayarını açmanız gerekmektedir.
Application Startup Control başlığı yanında bulunan kutucuğun işaretli ve anahtarın kilitli olduğundan emin olun.
Yeni bir kural oluşturmak için Add (ekle) butonuna basın ve listeden oluşturmuş olduğunuz fidye yazılımlarını engelle kuralını seçin.

Users and / or groups that are denied permission (Yasaklanan kullanıcı veya gruplar) kısmından select’e (seç) basıp Everyone yazıp ok butonuna basın. Application Startup Control kuralları listesinde Fidye yazılımlarını engelle kuralının ekli olduğundan ve everyone için yasaklı olduğundan emin olun.

Eğer kullanılan uygulamalar oluşturulan kural tarafından engelleniyorsa, onlar için exclusion (hariç tutma) oluşturulmalıdır: Yönetim konsolundan Application Management’ı seçin ve ardından Manage application categories’e gelin.

Fidye yazılımlarını engelle kategorisinin özelliklerine gelin. Exclusions kısmına gelin. Yasaklama kuralından istediğiniz uygulamayı hariç tutmak için bir koşul oluşturun.

Default Deny

Günümüzde Default Deny ilkesinin IT güvenliği için popülerliği artmıştır. Bu tarz bir ilkede, kullanıcı izin vermediği sürece tüm

uygulamaların başlaması engellenmiştir. Böyle durumlarda zararlı yazılımlarında başlatılmasının önüne geçilmiş olur.

Kaspersky Lab ürünleri bu ilkeyi yapılandırıp ortamınızda kullanmanıza yardımcı olmaktadır. Bu ilkeyi oluşturup kullanmanız için

tavsiyeler KL032.10 Default Deny isimli kursumuzda yer almaktadır.

Dosyaların güvenilir olmayan uygulamalar tarafından değiştirmesini engelleme

Eğer şüpheli yazılımların yukarıdaki listede yer alan dosyaları değiştirmeleri engellenirse, fidye yazılım bir şekilde çalışsa dahil dosyalara zarar veremez.

Application Privilege Control (Uygulama Ayrıcalığı Denetimi) size bu konuda yardımcı olacaktır. Bu durumda sadece güvenilir yazılımlara izin vermiş olacaksınız.

Yapılandırma talimatları

Kaspersky Security Center’da bulunan Kaspersky Endpoint Security ilkesini açın. Application Privilege Control (UygulamaAyrıcalığı Denetimi) bölümünü açın.

İkinci Settings (Ayarlar) butonuna tıklayın.
Personal data’yı seçin (Kişisel veriler), Add butonuna basın ve Category’i seçin.
Korunun Dosyalar kategorisi ve altına da Dökümanlar kategorisi oluşturun.
Add butonuna basın> File or Folder (Dosya ve klasör)> Açılan pencerede Name yazan kısma Dökümanlar, path (yol) yazan kısma ise browse butonuna basıp *.doc yazın ve tamam’a basın. Korunan veriler tablosunda yer alan tüm uzantılar için aynı işlemi yapın.

Protected Files Types (Korunan Dosya Türleri) grubu için Low restricted ve Hight restricted gruplarının yazma, silme ve oluşturma eylemleri için block (yasakla) ayarını yapılandırın.

Eğer kullandığınız bir uygulama Low restricted grubuna atandıysa ve kullanılmaz hale geldiyse

Eğer kullandığınız bir uygulama Low restricted grubuna atandıysa ve kullanılmaz hale geldiyse uygulamayı Trusted category grubuna taşıyın: Kaspersky Security Center’da bulunanKaspersky Endpoint Security ilkesini açın.

Application Privilege Control (Uygulama Ayrıcalığı Denetimi) bölümünü açın.

İlk Settings (Ayarlar) butonuna tıklayın. Trusted (Güvenilir) grubunu seçip add butonuna basın. Listedeki ilgili uygulamaları işaretleyinve sağ alt köşede bulunan Truste ( güvenilir) grubunu seçin. Eğer liste boş ise refresh (yenile) butonuna basın.

Dosya sunucuların korunması

Dosya sunucularının korunması Kaspersky Security 10 for Windows Server görevlerinin yapılandırılmasına bağlıdır. Bu ürün fidye yazılımlarının ağ üzerinde yayılmasını engellemektedir: https://www.youtube.com/watch?v=r8OV3x-L5Wo.

Temel Ayarlar

Sunucuların zararlı yazılımların sızmasına karşı korunması Real-Time Protection bileşeni tarafından sağlanmaktadır. Bu bileşen sunucu tarafından gelen tüm dosyaları tarayıp, gerekli olması durumunda silebilir veya temizleyebilir.

Ek Ayarlar

Real-time file protection bileşeninin yanı sıra, ağ üzerindeki paylaştırılmış klasörleri fidye yazılımlara karşı korumak için ayrıca Anti-Cryptor ve Untrusted Hosts Blocking bileşenlerinin etkinleştirilmesi gerekmektedir.

Kaspersky Security for Windows Server 10 ilkesi üzerinde bu bileşenlerin kontrolünü sağlama Kaspersky Security Center üzerinden Kaspersky Security 10 for Windows Server ilkesini açın. Server Control’ü seçin.

Untrusted Hosts Blocking ve Anti-Cryptor bileşlerinin ayarlarını girin ve bileşenlerin açık olduğuna emin olun. Bileşenlerin anahtarlarının kilidini kapatmayı unutmayın.

Default Deny ilkesi bir sunucuyu korumak için de kullanılabilir. Application Startup Control ayarları gibi yapılandırılır.

Bir saldırı gerçekleştiğinde yapılması gerekenler işlemler

Eğer fidye yazılım bir şekilde bir cihaza sızıp dosyaları şifrelediyse alttaki adımları uygulamanız gerekmektedir:

Eğer verileriniz düzenli olarak yedekleniyorsa, verilerinizi yedekten dönebilirsiniz.

Ayrıca şifrelenmiş 2 – 3 dosyanızı veya fidye yazılım taşıyan e-posta veya e-posta ekini kaydedip, Kaspersky Lab uzmanlarının incelemesi için gönderebilirsiniz.

Eğer şifrelenmiş dosyalarınız için bir yedek almadıysanız, Kaspersky Lab tarafından geliştirilmiş Decryptor (şifre kırıcı) yazılımlarla dosyalarınızı açmayı deneyebilirsiniz. Sisteminize bulaşmış fidye yazılımının türü daha önceden Kaspersky Lab tarafından tespit edilmiş, ve şifresinin kırılmış olması ihtimali bulunmaktadır.

Araçlar sürekli olarak güncellenmektedir. Yeni tespit edilmiş anahtarlar ve algoritmalar veritabanlara eklenmektedir. Eğer ilk denemenizde şifrelenmiş dosyalarınızı kıramadıysanız, bir sonraki güncellemeleri bekleyip güncel versiyonlarla deneyin. Şifrelenmiş dosyalarınız algoritması bir sonraki güncellemede veri tabanlarımıza eklenmiş olabilir. 3. Eğer araçlarımızı kullanarak dosyalarınızın şifrelerini kıramadıysanız, destek için Kaspersky Lab teknik desteğe başvurun. Lütfen alttaki verileri elinizde bulundurun: şifrelenmiş dosya ve varsa orijinal halleri

Phishing e-posta örneği veya zararlı yazılım barındıran e-posta ekiDaha önce bahsedilen sebeplerden dolayı, Kaspersky Lab uzmanları şifrelenmiş dosyalarınızın kırılmasını garanti edemez.

Eğer bize gönderdiğiniz fidye yazılım anti-virüs yazılımı tarafından tespit edilemediyse, dijital imzası bir sonraki güncellemeler ile yayınlanır.

Veri tabanlarımıza yeni bir imza eklendiğinde, saldırıya uğramış bilgisayara tam tarama yapmalısınız. Bilgisayarı ağa dahil etmeden önce tam tarama yapmanız ve bulunan zararlı yazılımları temizlemeniz çok önemlidir.