1. Panik yapmayın. İşlerin aniden durmasına üzülmek kolaydır fakat, hiçbir şeye yardımcı olmaz. Birçok kurumun fidye yazılımı saldırılarından etkilendiğini ve unutmayın. Sakin bir zihinle soğuk kanlı davranmak, doğru kararlar verme konusunda önemlidir. Saldırganların amacı kurbanları çaresiz bırakarak fidye ödemeye mecbur etmektir. Kötü organize edilmiş acele bir karar yerine uygun adımları atmak, aslında toplam kurtarma maliyetini düşürebilir ve sizi gelecekte daha fazla saldırıdan koruyabilir.
2. Etkilenen cihazların bağlantısını kesin. Normalde LockBit fidye yazılımı, şifreleyeceği her cihaza bulaşana kadar bir fidye talebi görünmez. LockBit fidye yazılımı ağ etkinliğine bağlı olarak yayılmaya devam edebileceğinden, virüslü bilgisayarların bağlantısını kesmek en önemli uygulamadır. LockBit fidye yazılımını talep yapılmadan önce fark ederseniz, yayılmasını önlemek için hızlı hareket etmek daha da önemlidir.
Kötü amaçlı yazılımı fark ettiğiniz an yapmanız gerekenler:
- Olası tüm cihazları ağdan ayırın.
- Wi-Fi, Bluetooth’u kapatın ve ethernet kablolarını çıkarın.
- Mümkünse, tüm ağı kapatın.
- Etkilenen ağa bağlı uzaktaki çalışanları bilgilendirin ve onlardan bağlantılarını kesmelerini ve sistemlerini kapatmalarını isteyin.
3. BT hizmet sağlayıcınızı ve/veya BT departmanınızı bilgilendirin. LockBit fidye yazılımının bir sistem üzerinden yayılması zaman alır, bu nedenle bir saldırı tespit ederseniz, enfeksiyonun daha da kötüleşmesini önlemek için hemen harekete geçmelisiniz. Bu adımın BT departmanınıza bildirilmeden önce yapılması gerekir, çünkü her saniye önemlidir.
Ayrıca BT hizmet sağlayıcınızı mümkün olduğunca çabuk bilgilendirmeniz gerekir. Örneğin bulut yedekleriniz varsa, enfeksiyon zaten yedeklerinize yayılmış olabilir. Hızlı davranmak, fidye ödemeye zorlanmakla ödememek arasında fark yaratabilir.
Kuruluşunuzun bir BT departmanı varsa, aşağıdaki adımlarda açıklandığı gibi fidye yazılımı yanıtını yönetmelerine izin vermek en iyisidir. Fidye yazılımının yayılmasını önleyecek şekilde sisteme erişmeleri gerekecek. Kuruluşunuzun bir BT departmanı yoksa, dışarıdan yardım almak en iyisi olabilir.
4. LockBit fidye yazılımının türünü öğrenin. LockBit fidye yazılımının türevlerini tespit etmek, tam olarak neyle uğraştığınızı belirlemenize yardımcı olabilir. LockBit fidye yazılımının türüne bağlı olarak farklı seçenekleriniz olabilir.
5. Yedeklerinizi kontrol edin. Mümkün olan en iyi senaryo, sisteminizi enfeksiyon oluşmadan önceki bir yedeğe geri yüklemektir. Bunu yapmak için, tekrar enfekte olmamak için enfeksiyonun ne zaman olduğunu bilmeniz gerekir. Sistem loglarınızın kullanışlı olabileceği en iyi yer burasıdır. Sistem Geri Yükleme, genellikle fidye yazılımları için iyi bir çözüm değildir, çünkü dosya sisteminizin derinliklerinde gizlenmiş kötü amaçlı yazılım içeren bir veriyi geri yükleyebilirsiniz.
Bazı durumlarda, fidye yazılımı yedeklerinize de bulaşabilir. Bu durumda, saldırganların taleplerine boyun eğmekten veya sisteminizi silip verilerinizin kaybını kabul etmekten başka yapabileceğiniz çok az şey vardır.
6. Fidye yazılımı saldırısının temel nedenini bulun. Her iki durumda da, enfeksiyonun nasıl oluştuğunu bilmeniz gerekir. Fidyeyi ödeyin veya verilerinizi bir yedekle geri yükleyin, saldırının nedenini bulamazsanız başka bir enfeksiyon riskiyle karşı karşıya kalırsınız.
Çoğu fidye yazılımı saldırısı, kimlik avı veya açıklardan yararlanma yoluyla başlar.
Kimlik avı saldırıları genellikle bir e-posta veya web sitesi şeklinde gerçekleşir. Siber suçlular, e-postalarının veya web sitelerinin görünümünü taklit ederek saygın işletmeleri veya devlet kurumlarını taklit edebilir ve ardından çalışanları bir bağlantıya tıklamaları veya kötü amaçlı yazılım içeren bir eki indirmeleri için kandırabilir.
LockBit fidye yazılımı bulaşması, sisteminizdeki bir güvenlik açığı nedeniyle gerçekleştiyse, verilerinizi geri yüklemeden önce bu güvenlik açığını düzeltmeniz gerekir. Birçok güvenlik açığı, yazılımın eski sürümlerini kullanmaktan kaynaklanır, bu nedenle riskinizi en aza indirmek için güvenlik açıklarını kapatmalı ve sisteminizi her zaman güncel tutmalısınız.
7. Seçeneklerinizi değerlendirin. Bu noktada 4 seçeneğiniz var.
- Yedekten geri yüklemek. Yeni bir yedeğiniz varsa ve yedeğiniz temizse, bu en iyi seçenektir.
- Fidyeyi ödemek. Bu en kötü seçenektir ancak, bir çok kuruluşun gerekli yedeklemeleri olmadığından dolayı başka seçeneği yoktur.
- Verilerinizin kaybını kabul edin. Fidyeyi ödemekten kaçınabiliyorsanız, bunu yapmak daha iyidir. Saldırganların taleplerine boyun eğmek, onları başkalarına saldırmaya teşvik eder ve sorunu daha da kötüleştirir. Çoğu zaman, karar basit bir ekonomik hesaplamaya bağlıdır; Verileri kaybetmenin maliyeti fidyeyi ödemekten daha mı büyük? Evet ise, birçok şirket saldırganlara ödeme yapmak için zor bir karar veriyor, siz de bunlardan biri olabilirsiniz.
8. Şifrelenmiş dosyaları yedekleyin. Şifrelenmiş dosyaları yedekleme, işlemin son derece önemli bir parçasıdır. Olayı izole ettikten ve uğraştığınız LockBit fidye yazılımı varyantını keşfettikten sonra, bir sonraki eyleminiz tüm şifrelenmiş dosyaların yedeğini oluşturmak olmalıdır. Şifre çözme işlemi sırasında bir şeyler ters giderse, tekrar deneyebilmeniz için dosyaların bir kopyasına sahip olmalısınız.
9. Verilerinizi geri yükleyin. Güvenli bir yedeğiniz varsa, saldırıya sebep olan güvenlik açığını giderdikten sonra verilerinizi geri yükleyebilirsiniz. Saldırganlar da bunun farkında olduğu için, LockBit fidye yazılımı önce yedeklemeleri şifrelemeye öncelik verir. Sisteminizi geri yüklemek için herhangi bir yedeklemeyi kullanmadan önce, yedeklemenin herhangi bir gizli fidye yazılımı içermediğinden emin olun.
Ancak başka seçeneğiniz yoksa, saldırganlara ödeme yapmanız gerekebilir.
Fidye yazılımı saldırılarının kurbanlarına doğrudan saldırganlarla iletişime geçmesini önermiyoruz. Saldırganlar sizden yararlanmaya çalışabilir ve boş tehditlerle size baskı yapabilir.
Saldırganlarla uğraşırken konumunuzu iyi belirlemeniz gerekir. Saldırganlar aslında verilerin değerini bilemeyebilir. Deneyimsiz aracılar, saldırganların taleplerini artırmalarına neden olan bilgileri yanlışlıkla ifşa edebilir.
Çoğu LockBit fidye yazılımı saldırısı için yapılan görüşmeleri profesyonellerden oluşan ekipler gerçekleştirir. Farklı grupların çalışma yöntemini ve bunlarla başa çıkmanın yöntemlerini bilmek, yapılan görüşmeler sonucunda daha az maliyet ile dosyalarınıza ulaşmanızı sağlayabilir. Çoğu durumda, iletişimleri ve ödemeleri yönetmesi için profesyonelleri işe almak, doğrudan saldırganlarla uğraşmaktan daha ucuz olabilir.
Dikkate alınması gereken diğer bir faktör, bir yedeği geri yüklemek için gereken süredir. Geri yüklenecek terabaytlarca veri olması durumunda, yedekten geri yüklenmesi günler alabilir. Kuruluşunuz operasyonların askıya alınması nedeniyle çok para kaybediyorsa, saldırganlara ödeme yapmak ve verilerin şifresini çözmek, tam bir geri yüklemeyi beklemekten daha ucuz olabilir.
Yedekleme güncel değilse, son yedeklemeden bu yana kaybolan verilerin maliyetini hesaplamanız gerekir.
10. Saldırganlarla iletişim kurun.Ne yazık ki, çoğu durumda saldırganlarla iletişim kurmaktan başka seçenek yoktur. Komplikasyonları önlemek için deneyimli profesyonel aracılar ile çalışmanızı öneririz.
İletişim sırasında ortaya çıkabilecek bir takım komplikasyonlar vardır.
Saldırganlar daha fazla ödeme talep ediyor. Saldırganlar bazen sözlerini tutmazlar. Müzakerelerin önemli bir kısmı, saldırganların verileri kaybetmek istediğiniz veya ek ödeme yapacak bütçeniz olmadığı izlenimini uyandıracak şekilde iletişim kurmaktır.
Saldırganlar, ek hedefler bulmak için iletişimi kullanıyor. Saldırganlar bazen iletişim yoluyla elde edilen bilgileri kimlik hırsızlığı veya daha fazla saldırı için kişileri hedeflemek için kullanır. Saldırganlarla iletişim kurarken, müşterilerinizi korumak için anonim, tek kullanımlık e-posta adresleri kullanın.
Şifre çözme aracı çalışmıyor. Bazen saldırganlar tarafından sağlanan şifre çözme aracı çalışmayabilir. Bu durumda, anahtarın doğru olduğunu doğrulamanız gerekir. Bazı durumlarda, şifre çözme işlemini karmaşıklaştırabilecek birden fazla anahtar olabilir.
Şifre çözme aracı bir truva atı taşıyor. Siber suçlular bazen bir fidye ödemesini alır, ancak verdikleri şifre çözme aracına başka bir virüs yerleştirirler. Şifre çözme aracını yalıtılmış bir sanal makine gibi güvenli bir ortamda almak ve kullanmadan önce iyice kontrol etmek önemli bir adımdır.
En iyi müzakere stratejisi, aşağıdakiler de dahil olmak üzere bir dizi faktöre bağlıdır:
- Hangi grupla uğraştığını bilmek.
- Geçmişteki faaliyetleri hakkında bilgileri toplamak.
- İşletme hakkında ne kadar bilgiye sahip olduklarını öğrenmek.
- Güvenliği ihlal edilmiş verilerin değerini ne kadar iyi anladıklarını öğrenmek.
11. Güvenliği artırmak için adımlar atın. Daha önce bahsedildiği gibi, LockBit fidye yazılımı saldırıları çoğu kurbanı birden fazla kez vurur. Bunun nedeninin bir kısmı, ilk saldırının yanlış ele alınmasından kaynaklanmaktadır. Olabildiğince hızlı bir şekilde tekrar çalışmaya başlamak istemeniz anlaşılabilir, ancak bir daha darbe almamak için bazı önlemler almak önemlidir.
İlk olarak, tüm fidye yazılımlarını ve kötü amaçlı yazılımları tamamen kaldırmak önemlidir. İkinci olarak, yazılımınızın tüm sürümlerini güvenlik açıkları açısından kontrol etmeniz ve her şeyin güncel olduğundan emin olmanız önemlidir.
Bir fidye yazılımı saldırısının ardından, işletim prosedürünüzü ayarlamanız gerekebilir. Örneğin, çevrimdışı bir depolama ortamında veya ağınızdan izole edilmiş bir sunucuda yedekleme yapabilirsiniz. İşlem sırasında anti-virüs taraması da önemlidir.
Tüm çalışanları, siber güvenlik farkındalığı konusunda eğitmek önemlidir.