[KB3433] Fidye yazılımlarına karşı korunmak için en iyi uygulamalar

• Sisteminizi fidye yazılımı zararlı yazılımlarına karşı korumak üzere yapılandırmak için en iyi uygulamaları kullanmak istersiniz
• Genel ESET uygulaması fidye yazılımı karşıtı en iyi uygulamalar
• Genel fidye yazılımı karşıtı uygulamalar
• Şifrelenmiş dosyaları kurtarma

ESET uygulamalarının mevcut sürümleri, bilgisayarları fidye yazılımlarından korumak için birden fazla teknoloji katmanı kullanır.

Bu teknolojilere örnek olarak Gelişmiş Bellek Tarayıcı, ESET LiveGrid® Reputation System ve Exploit Blocker verilebilir.

Ayrıca, en yeni ESET uygulamaları, fidye yazılımı ile Komuta ve Kontrol (C&C) sunucuları arasındaki iletişimi engelleyen gelişmiş bir Botnet Koruması modülü sağlar.

Genel ESET uygulaması fidye yazılımı karşıtı en iyi uygulamalar

• PUA (Potansiyel Olarak İstenmeyen Uygulamalar) tespitini etkinleştirin

RMM (uzaktan izleme ve yönetim) araçları, savunmasız sürücüler, ağ tarayıcıları ve sisteminiz için güvenlik riski oluşturabilecek diğer yazılımlar gibi istenmeyen, güvenli olmayan ve şüpheli uygulamaları tespit etmek için detect unwanted, unsafe, and suspect applications bağlantılı makaledeki talimatları izleyin. Bu araçlar güvenilir, imzalı ve meşru, hatta yerleşik sistem yardımcı programları olsa da, fidye yazılımı saldırıları sırasında saldırganlar tarafından yaygın olarak kötüye kullanılmaktadır. Potansiyel olarak istenmeyen uygulamalar ve potansiyel olarak istenmeyen içerikler hakkında daha fazla bilgi.

• Gelişmiş Bellek Tarayıcı ve Exploit Engelleyiciyi etkin tutun

  Bu yeni tasarlanmış ESET algoritmaları, gizleme ve/veya şifreleme kullanarak kötü amaçlı yazılımdan koruma ürünleri tarafından tespit edilmekten kaçınmak için tasarlanmış kötü amaçlı yazılımlara karşı korumayı güçlendirir.

  Gelişmiş Bellek Tarayıcısı, kötü amaçlı yazılım bellekte açığa çıktıktan sonra şüpheli davranışları arar ve Exploit Engelleyici, sıfırıncı gün güvenlik açıkları olarak da bilinen hedefli saldırılara ve daha önce görülmemiş güvenlik açıklarına karşı korumayı güçlendirir.

  Maksimum koruma için ESET uygulamalarınızı en son sürüme yükseltmenizi öneririz:

  • Ev kullanıcıları: ESET ev veya küçük ofis ürününüzün (Windows) en son sürümünü kontrol edin
  • İş kullanıcıları: ESET iş ürünlerinizin en son sürümünü kontrol edin (Windows)
    
    

• ESET LiveGrid®'i etkin tutun

  ESET Cloud Malware Protection System, ESET LiveGrid® tabanlıdır. Bilinmeyen ve potansiyel olarak kötü amaçlı uygulamaları izler ve örnekleri otomatik korumalı alana alma ve davranış analizine tabi tutar.

  ESET ürününüzde ESET LiveGrid® itibar ve ESET LiveGrid® geri bildirim sisteminin etkinleştirildiğinden ve çalıştığından emin olun.

• ESET'i güncel tutun

  Mevcut fidye yazılımlarının yeni varyantları sık sık yayınlanmaktadır, bu nedenle düzenli virüs veritabanı güncellemeleri almanız önemlidir (geçerli bir aboneliğiniz ve çalışan bir internet bağlantınız olması koşuluyla ESET uygulamanız her saat güncellemeleri kontrol edecektir).

  • Ev kullanıcıları: ESET Windows ev veya küçük ofis ürününüzü güncelleyin
  • İş kullanıcıları: Bireysel istemci iş istasyonlarında ESET uç nokta ürünlerini güncelleyin - en son ürün modüllerini kontrol edin
    
    

• Sanal Makine kullanıcıları

  Fidye yazılımı kötü amaçlı yazılımlarına karşı en iyi koruma için sanal ortamlarda ESET Endpoint Security for Windows kullanılmasını öneririz.

• Ransomware Shield'ı etkinleştirdiğinizden emin olun

  Fidye Yazılımı Kalkanı, Öz Savunma teknolojisinin bir parçası olarak, HIPS özelliğinin bir parçası olarak çalışan başka bir koruma katmanıdır. Daha fazla bilgi için ESET Sözlüğü'ndeki Ransomware Shield ve ESET uygulamalarında nasıl yapılandırılacağı bölümüne bakın.

• ESET business ürünlerinde fidye yazılımlarına karşı koruma sağlamak için ek ayarları manuel olarak veya ESET PROTECT On-Prem/ESET PROTECT Policy kullanarak yapılandırın

  • Configure HIPS rules for ESET business products
  • Configure Firewall rules for ESET Endpoint Security
  • Microsoft Exchange Server için ESET Mail Securityyi
    
    

• Bildirimler

  • Tespit edilen tehditler için ESET LiveGuard Advanced bildirimleri

Şifreleme tabanlı kötü amaçlı yazılımlardan (fidye yazılımı) kaynaklanan riskinizi en aza indirin

• Sisteminizin yedeklerini tutun

  Sisteminizi düzenli olarak yedeklemeyi planlayın ve en son çalışmanızı bir saldırıdan korumak için çevrimdışı depolamada en az bir yedek tutun.

• Kullanıcı izinleri ve hakların kısıtlanması

  Uygulama verilerine erişim kısıtlaması ve hatta Grup İlkesi Nesnesi (GPO) olarak önceden oluşturulmuş olanlar gibi birçok kısıtlama türü vardır.

  • AppData ve LocalAppData klasörlerinden çalışan dosyaları devre dışı bırakın.
  • Temp alt dizininden yürütmeyi engelleyin (varsayılan olarak AppData ağacının bir parçasıdır).
  • Çeşitli sıkıştırma açma yardımcı programlarının (örneğin, WinZip veya 7-Zip) çalışma dizinlerinden çalışan yürütülebilir dosyaları engelleyin.
  • Ayrıca Windows için ESET Endpoint Security, Microsoft Exchange Server için ESET Mail Security ve Microsoft Windows Server için ESET Server Security uygulamalarında, bilgisayarda yalnızca belirli uygulamaların çalışmasına izin vermek ve diğerlerini varsayılan olarak engellemek için HIPS kuralları oluşturabilirsiniz: ESET PROTECT On-Prem kullanarak bir HIPS kuralı oluşturun ve bunu istemci iş istasyonunda uygulayın.
    
    

• Kullanıcı Hesabı Denetimi'ni (UAC) devre dışı bırakmayın

  Faks, fatura veya makbuz olduğunu iddia eden ekleri, şüpheli bir isme sahiplerse veya almayı beklemiyorsanız açmayın.

  Kötü amaçlı yazılım saldırısı riskini en aza indirin.

• İki Faktörlü Kimlik Doğrulama (2FA) kullanın

  Bulut veya şirket içi bileşen olarak kullanılabilen ESET Secure Authentication'ı öneririz. Daha fazla bilgi için ESET Çevrimiçi Yardım'ı ziyaret edin.

• Tehdit Savunması

  ESET LiveGuard Advanced'i öneririz.

• Grup İlkesi aracılığıyla Microsoft Office'te Makroları (VBA) Devre Dışı Bırakma

  Microsoft Office 2019 ve önceki sürümler: Office için VBA makroları için güvenlik ayarlarını planlama

  Microsoft Office 365, Office dosyalarında internetten makro yürütülmesini engelleyen ilkeleri uygulamak için Office Bulut İlkesi Hizmeti'ni (OCPS) kullanır.

• Sisteminizi güncel tutun

  Mevcut en iyi korumaya sahip olduğunuzdan emin olmak için işletim sisteminizi ve uygulamalarınızı güncel tutun. Windows Update aracında sunulan en son yüksek öncelikli güncelleştirmeleri yükleyin ve düzenli olarak kontrol edin veya Otomatik Güncelleştirmeler özelliğini etkinleştirin. Yeni güvenlik güncellemeleri sistem açıklarını kapatır ve kötü amaçlı yazılım saldırıları riskini azaltır.

• Açık bırakılırsa istismar edilebilecek potansiyel bağlantı noktaları/hizmetler

  Bilinmeyen IP adreslerinin başarılı Brute-Force saldırıları gerçekleştirmesini önlemek için SMB, SQL ve RDP'yi kilitlemenizi şiddetle tavsiye ederiz.

  Hizmet	Tavsiyeler
  SMB	Dosya paylaşım portları 135-139 ve 445'i kapatın. SMB portları internete açık olmamalıdır.
  SQL	SQL'e bağlanmasına izin verilen güvenilir IP adreslerini beyaz listeye alın.
  RDP	RDP'yi harici bağlantılara kapatarak harici RDP kaba kuvvet saldırılarını durdurun. Dahili ağa bağlanmak için iki faktörlü kimlik doğrulamalı bir VPN kullanın.
  	Belirli sayıda başarısız denemeden sonra, kilidi açmadan önce bir bekleme süresi ile otomatik hesap kilitlemeleri ayarlayın.
  	Güçlü parolaları zorunlu kılın.
  	Kullanılmayan veya varsayılan hesapları (administrator, admin, root) devre dışı bırakın.
  	RDP oturum açma için belirli kullanıcıları ve grupları beyaz listeye alın.
  	RDP bağlantısını etkinleştirmek için belirli IP adreslerini beyaz listeye alın.

• Uzak Masaüstü Protokolü saldırılara karşı en iyi uygulamalar

  Şifreleme tabanlı kötü amaçlı yazılımlar genellikle Windows'ta yerleşik olarak bulunan Uzak Masaüstü Protokolü (RDP) aracılığıyla hedef makinelere erişir. RDP başkalarının sisteminize uzaktan bağlanmasına izin verir, böylece saldırgan korumayı kaldırmak ve ardından kötü amaçlı yazılımı dağıtmak için RDP'yi kötüye kullanabilir.

  Uzak Masaüstü Protokolünü devre dışı bırakmanızı veya değiştirmenizi öneririz. RDP kullanımına ihtiyacınız yoksa, makinenizi fidye yazılımlardan ve diğer RDP istismarlarından korumak için varsayılan bağlantı noktasını (3389) değiştirebilir veya RDP'yi devre dışı bırakabilirsiniz. RDP'nin nasıl devre dışı bırakılacağına ilişkin yönergeler için aşağıdaki ilgili Microsoft Knowledgebase makalesini ziyaret edin:

  • Windows 11
  • Windows 10
  
  

  RDP hakkında daha fazla bilgi için aşağıdaki WeLiveSecurity makalesine bakın: RDP ve uzaktan erişimin güvenliğini sağlama.

• ESET uygulama ayarlarınızı parola ile koruma

  İş kullanıcısıysanız ESET uygulamasını bir saldırganın yetkisiz değişikliklerine karşı korumak için parola kullanmanızı öneririz. Bu, kimliği doğrulanmamış ayarların değiştirilmesini, korumanın devre dışı bırakılmasını ve hatta ESET ürününün kaldırılmasını önler. RDP kullanıyorsanız, RDP oturum açma kimlik bilgileri için kullanılandan farklı bir parola kullanmanızı öneririz.

  Daha fazla bilgi için bkz. ESET uygulamanızı parola ile koruma.

Şifrelenmiş dosyalar kurtarılabilir mi?

Modern fidye yazılımları, verileri asimetrik şifreleme ve çoklu şifreleme algoritmaları kullanarak şifreler. Kısacası, dosyalar ortak bir anahtarla şifrelenir ve ilişkili özel anahtar olmadan şifresi çözülemez. Mevcut fidye yazılımlarında, özel anahtar hiçbir zaman etkilenen iş istasyonunda veya ortamda bulunmaz. Bu, verilerin bulaşmadan önce alınmış iyi bir yedekten geri yüklenmesi gerektiği anlamına gelir.

Yedekleme yoksa, dosyaları Gölge Kopyalardan kurtarmayı deneyebilirsiniz. Gölge Gezgini'ni indirin.

Ancak, fidye yazılımı enfeksiyonlarının dosyaların kurtarılmasını önlemek için Gölge Kopyaları silmesi nadir değildir.

Fidye yazılımı bulaşmışsa hangi adımları atmalısınız?

1. Bilgisayarın ağ bağlantısını kesin.

2. Ödeme talimatlarını içeren TXT veya HTML dosyasını bulun, örneğin, "Şifrelenmiş paylaşılan klasörlerin/sürücülerin şifresi nasıl çözülür". kötü amaçlı yazılım araştırmacıları bunu daha fazla analiz için kullanabilir.

3. Destek için yerel ESET iş ortağınızla iletişime geçin.