PratikYedek
Tüm yazılar
Güvenlik·12 dk okuma

Ransomware kurban olduğunda ilk 24 saat — Adım adım kurtarma

Ransomware saldırısı sonrası ilk 24 saatte yapılacaklar: izolasyon, KVKK bildirim, restore stratejisi, yetkili kuruma rapor. Pratik kılavuz.

Sabah ofise geldiniz, bilgisayarlarda kırmızı bir uyarı: "Tüm dosyalarınız şifrelendi. 0.5 BTC ödeyin yoksa silinecek." Panik kaçınılmaz. Ama doğru sırayla atılacak adımlar farkı yaratır.

⚠️ Önemli: Bu yazı bir genel kılavuzdur. Ciddi olaylarda mutlaka olay müdahale (incident response) profesyonel desteği alınmalıdır.

İlk 1 saat — İzolasyon

1. Etkilenen cihazları ağdan ayır

Ransomware ağ paylaşımları üzerinden yayılır. Wi-Fi kapat, ethernet kablosu çek. Bulut senkronizasyon (OneDrive, Drive) şifrelenmiş dosyaları buluta da yazar — sync uygulamalarını derhal duraklat.

2. Sunucuyu (varsa) izole et

Yerel sunucu varsa kabloyu çek ama kapatma. Kapatma sonrası RAM analizi yapılamaz, adli kayıt kaybolur.

3. Yedek depolarını koru

USB/NAS bağlıysa fiziksel olarak çıkar. PratikYedek bulut yedekleri olay anında immutable lock kazanır (3 sn gecikme); ama yine de admin parolasını acil değiştirin.

2-4. saat — Tespit ve değerlendirme

4. Hangi varyant?

Şifrelenmiş dosya uzantısı (örn. .locked, .encrypted, .veracrypt) varyantı belirler. ID Ransomware servisine 2 örnek dosya yükleyerek varyant adı bulunur. Bazı varyantların bedava decryptor araçları vardır (No More Ransom Project).

5. Sızıntı var mı?

Modern ransomware sadece şifrelemez — veri kopyalayıp şantaj yapar. Dark web monitoring araçlarıyla veya saldırgan komut sunucusunun analiziyle sızıntı tespit edilir. Sızıntı varsa KVKK § 12/5 bildirimi devreye girer.

6. Etkilenen veri tipini sınıflandır

  • Kişisel veri var mı? (KVKK § 3)
  • Özel nitelikli veri var mı? (§ 6: sağlık, ceza, biyometrik)
  • Finansal kayıt? (VUK)
  • Sözleşme veya KEP?

Bu sınıflama bildirim yükümlülüğünü belirler.

4-8. saat — Bildirim ve hukuk

7. KVKK bildirim — 72 saat kuralı

KVKK Kurul'un 24.01.2019 tarih ve 2019/10 sayılı kararı:

"Veri ihlali halinde veri sorumlusu en geç 72 saat içinde Kuruma bildirmekle yükümlüdür."

https://kvkk.gov.tr/Icerik/4191/Veri-ihlal-bildirimi — Online form. Bildirim formu eksikse + ek bilgi sonradan gönderilir. 72 saatte mutlaka açın, sonrası ihlal sayılır.

8. İlgili kişileri bilgilendirme

Ciddi risk varsa (özel nitelikli veri sızıntısı, finansal veri vb.) ilgili kişilere de doğrudan bildirim zorunlu. E-posta + web sitesi duyurusu + (gerekirse) KEP yöntemi tercih edilir.

9. Sektör düzenleyicileri

  • Sağlık: Sağlık Bakanlığı'na 24 saat içinde
  • Finans: BDDK + MASAK
  • Telekom/ISP: BTK
  • E-Ticaret: Ticaret Bakanlığı (ETBİS)

10. Adli mercilere şikayet

Cumhuriyet Başsavcılığı Bilişim Suçları Bürosu'na şikayet açın. Olay tutanağı, ekran görüntüleri ve teknik analiz raporu eklenmeli.

8-24. saat — Kurtarma

11. Restore stratejisi

Asla fidye ödemeyin. İstatistikler:

  • Fidye ödeyenlerin %20'si veriyi geri alamıyor
  • Ödeyenler 12 ay içinde tekrar hedef olma riski 2x yüksek
  • KVKK Kurulu fidye ödenmesini "tedbir eksikliği" sayarak ek ceza verebilir

Doğru yol: temiz yedekten restore.

Restore sırası

  1. Yeni temiz donanım hazırla (eski makineler forensic için tut)
  2. İşletim sistemi + güncellemeler kur
  3. PratikYedek master parola ile recovery — son temiz snapshot seç (genelde olaydan 24-48 saat öncesi)
  4. Doğrulama: 10 örnek dosya rasgele kontrol
  5. Servis tekrar yayına

Hangi snapshot temiz?

Ransomware genelde dwell time (sessiz kalma) süresi geçirir — ortalama 21 gün. Bu yüzden:

  • ✅ 30 günlük aylık snapshot
  • ✅ Anti-virüs taraması ile snapshot doğrulama
  • ✅ Şüpheli dosya değişikliği uyarısı (PratikYedek Faz 5 özelliği)

12. Yeniden başlatma kontrol listesi

  • Tüm parolalar değiştirildi (admin + kullanıcı + servis hesapları)
  • MFA (2FA) zorunlu hale getirildi
  • EDR/XDR (Endpoint Detection Response) kuruldu
  • Tüm yazılımlar son sürüme güncellendi
  • Açık RDP portları kapatıldı (en sık giriş vektörü)
  • Email gateway phishing filtresi sıkılaştırıldı
  • Çalışanlara phishing eğitimi planlandı

Sonraki günler — Öğren

  • Olay raporu yazılı: ne, ne zaman, nasıl, ne kadar süre, ne kaybı
  • KVKK Kuruma ek bilgi gönderildi (ilk 72h sonrası detay)
  • Tedarikçi DPA kontrol: alt işleyenler arasında sızıntı var mıydı?
  • Sigorta: siber sigorta varsa hasar talebi açıldı

PratikYedek olay müdahale desteği

  • ✅ Immutable snapshot — admin bile silemez (KVKK uyumlu retention lock)
  • ✅ Olay zaman çizelgesi otomatik kayıt (audit log)
  • ✅ Anti-virüs ile snapshot tarama (Faz 5)
  • ✅ Kurumsal paketlerde 7/24 olay müdahale hotline

Erken Erişim'e katıl — Ransomware sigortası gibi düşünün. Olmadığında en pahalı eksik.

İlgili makaleler

Available in English: Read in English →

PratikYedek'i 30 gün ücretsiz deneyin

KVKK uyumlu uçtan uca şifreli yedekleme. Kredi kartı istemiyoruz.

Ücretsiz Dene