Fidye Yazılım Sonrası İlk 24 Saat: Acil Müdahale Rehberi
Ransomware bulaşmış sistemde saat saat ne yapılır. USOM 3 saat, KVKK 72 saat bildirim. NIST SP 800-61 IR çerçevesi. No More Ransom decryptor arama. Ödememe gerekçeleri, çift şantaj, yedekten restore + paralel adli analiz.
Fidye Yazılım Saldırısı Sonrası İlk 24 Saat: Acil Müdahale Rehberi
TL;DR: Fidye yazılım bulaşmış sistemde ilk saatler her şeyi belirler. Doğru sıra: cihazı yerinde tut, ağdan ayır, ekranı fotoğrafla, yedekleri izole et, USOM bildirimi 3 saat içinde, KVKK bildirimi 72 saat içinde. NIST SP 800-61 Incident Response çerçevesi ve ISO 27037 delil zinciri metodolojisi yol gösterici olmalı. Yedek varsa restore artı paralel adli analiz. Yedek yoksa No More Ransom üzerinden decryptor araması, sonrasında profesyonel veri kurtarma ekibi. Ödeme yapma kararı CISA ve FBI IC3 tavsiyesidir.
Türkiye genelinde fidye yazılım vakaları artıyor. Detaylı tablo için Türkiye Siber Tehdit Manzarası 2026 pillar makalesine bakabilirsiniz. Bu rehber, fidye notuyla karşılaştığınız andan itibaren ilk 24 saatte ne yapmanız gerektiğini saat saat anlatıyor.
İlk 5 dakika: panik kontrolü
Ekranınızda kırmızı arka plan, kafatası ikonu, "your files are encrypted" yazısı. Refleksiniz fişi çekmek olacak. Yapmayın.
- Cihazdan elinizi çekin. Klavyeye dokunmayın, fareyi oynatmayın. Açılan dosyayı kapatmayın.
- Ekranı telefonla fotoğraflayın. Fidye notu, cüzdan adresi, iletişim e-postası, sayaç süresi, dosya uzantısı örüntüsü. Bunlar saldırgan grubu kimliklendirmek için altın değerinde.
- Yandaki makineleri ağdan ayırın. Wi-Fi kapat, Ethernet kablosunu çek. Ransomware lateral movement ile dakikalar içinde tüm domaini şifreler.
- Yedek sunucusunu derhal izole edin. Saldırganlar genellikle önce yedekleri arar ve siler. Backup network segmenti varsa link kesin.
- IT yöneticisine sözlü haber verin. E-posta sistemi de etkilenmiş olabilir; telefon kullanın. Kullanıcılara "hiçbir cihaza dokunmayın" emri verin.
İlk saat: kanıt koruma
Adli bilişim açısından en kritik pencere açıldı. NIST SP 800-61 Containment fazı ile Identification fazını paralel yürütmek gerekir. ISO 27037 standardı, dijital delilin tanımlanması, toplanması ve korunmasında uluslararası referanstır.
Bu aşamada yapılacaklar:
- Cihazı açık tutun. RAM içeriği volatile bellektir, kapatınca uçar. RAM dump (memory image) alınmadan kapatma yapılırsa şifreleme anahtarı, process listesi, network bağlantıları kalıcı olarak kaybolur.
- Fidye notunun metnini ayrı bir text dosyasına kopyalayın. Notu USB'ye veya temiz bir cihaza alın. İçeriği No More Ransom Crypto Sheriff aracına yüklemek için gerekli.
- Şifreli dosyalardan iki örnek alın. Küçük bir dosya (örneğin 1MB) ve büyük bir dosya (10MB üzeri). Decryptor analizi için.
- Olay zamanını yazılı tutanaklayın. Saat kaç, kim fark etti, ilk belirti neydi. Sigorta talebi ve KVKK bildirimi için kronoloji şart.
- Log sunucularını koruyun. Domain Controller, firewall, EDR, SIEM loglarının döngüsel üzerine yazılmasını durdurun. Saldırı vektörü buradan çıkar.
CISA Stop Ransomware sayfasındaki "Ransomware Response Checklist" bu adımları tek sayfa halinde özetler ve yazıcıdan çıkarıp ofiste hazır bulundurmak tavsiye edilir.
Ne YAPMA listesi
Panik anında verilen yanlış kararlar sonradan telafi edilemez. Beş kritik yasak:
- Cihazı yeniden başlatmayın. Bazı ransomware aileleri reboot anında ikinci aşama şifrelemesi tetikler. RAM'deki anahtar uçar.
- Antivirus full scan başlatmayın. AV tarama, kanıtların imzalarını, dosya zaman damgalarını ve potansiyel olarak şifreli dosyaları silebilir veya karantinaya alabilir.
- Şifreli dosyaları silmeyin. Decryptor çıkması durumunda kurtarılabilirler. Ayrıca Volume Shadow Copy üzerinden parsiyel kurtarma şansı kalabilir.
- Fidye notundaki kanala yanıt yazmayın. Saldırganla iletişim, müzakere uzmanı yoksa zarar verir. Süreyi azaltabilir, ek talep gelebilir.
- Ödeme yapmayın. Aşağıda detayını açıklıyoruz; özetle FBI ve CISA ortak tavsiyesi ödemememe yönündedir.
Saat 1-3: izolasyon ve kapsam tespiti
Bu üç saat içinde aşağıdaki soruların cevabını bulmuş olmalısınız:
- Kaç makine etkilendi? Workstation, sunucu, sanal, fiziksel ayrımı.
- Hangi veri kümeleri şifreli? Dosya sunucusu, e-posta, veritabanı, ERP.
- Etkilenen toplam veri hacmi (TB cinsinden).
- Saldırı vektörü hipotezi: phishing eki, açık RDP, VPN exploiti, supply-chain.
- Active Directory etkilendi mi? Domain Admin ele geçirilmiş mi?
- Saldırgan hala içeride mi? Beacon trafiği var mı?
ENISA yıllık ransomware tehdit raporları bu evrede kapsam değerlendirmesi için sektörel referans verir. ENISA Threat Landscape raporu, Avrupa genelinde gözlemlenen TTP (tactics, techniques, procedures) listesini içerir ve hangi grubun hangi vektörü tercih ettiğine dair istatistik sunar.
USOM bildirimi: 3 saat penceresi
Türkiye'de kritik altyapı operatörleri için USOM (Ulusal Siber Olaylara Müdahale Merkezi) bildirim yükümlülüğü vardır. Kritik altyapı sektörleri:
- Elektrik enerjisi
- Doğalgaz
- Su yönetimi
- Bankacılık ve finans
- Elektronik haberleşme
- Ulaştırma
- Kritik kamu hizmetleri
- Sağlık
Bildirim formu USOM portalı üzerinden doldurulur. Acil durumda bildirim hattı telefonu ve e-posta adresi de portalda yayınlanmıştır. Bildirim ihmali, BTK denetimlerinde idari para cezası ile sonuçlanır. Kritik altyapı dışındaki kuruluşlar için bildirim zorunlu olmasa bile, USOM koordinasyon desteği almak için bildirilmesi şiddetle tavsiye edilir.
KVKK bildirimi: 72 saat
KVKK Kişisel Verileri Koruma Kurumu, veri ihlali olduğunda 72 saat içinde bildirim yapılmasını zorunlu kılar. Fidye yazılım, neredeyse her vakada bir veri ihlalidir; çünkü modern saldırılarda veri önce dışarı sızdırılır (exfiltration), sonra şifrelenir.
72 saatlik sayaç, ihlalin "öğrenildiği" andan başlar. "Öğrenildiği an", makul şüphe oluştuğu andır, kesin teyit beklenmez. Kapsam belirsizse iki yollu bildirim mümkündür:
- Ön bildirim: İhlalin yaşandığı, kapsam araştırmasının sürdüğü.
- Tamamlayıcı bildirim: Adli analiz sonrası kesinleşen detaylar.
Bildirim formu KVKK web portalı üzerindeki "Veri İhlali Bildirim Sistemi" üzerinden doldurulur. İlgili kişilere (etkilenen veri sahiplerine) ayrıca duyuru yapma yükümlülüğü de doğabilir.
KVKK ihlal bildirim sürecinde delil zinciri çok önemlidir. Adli rapor mahkemeye gidecekse adli bilişim incelemesi sürecinin hash doğrulamalı, imaj üzerinden çalışılmış ve write blocker kullanılmış olması gerekir.
Saat 3-12: triage ve recovery planlama
Bu pencerede üç paralel akış yürür:
Yedek değerlendirmesi. Etkilenmemiş, immutable (write-once) yedek var mı? Yedeklerin son başarılı durumu hangi tarih? Volume Shadow Copy silinmiş mi (vssadmin delete shadows komutu modern ransomware'in standart hareketidir)? Cloud-replicated yedekler de bulaştı mı (cryptolocker bazı vakalarda OneDrive/Dropbox üzerinden senkronla yayılır)?
Aile tanımlama. Dosya uzantısı (.lockbit, .conti, .blackcat/.akira, .play, .royal, .8base gibi), fidye notunun ID-Ransomware veya No More Ransom Crypto Sheriff'e yüklenmesi ile aile belirlenir. Aile bilindiğinde decryptor olup olmadığı, grubun OFAC sanksiyon listesinde olup olmadığı, TTP'leri kontrol edilir.
Recovery senaryosu seçimi. Üç yol vardır:
- Air-gapped temiz yedekten restore.
- Decryptor varsa şifreli üzerinden çözüm.
- Yedek yok, decryptor yok ise veri kurtarma uzmanı + müzakere değerlendirmesi.
Ödememe kararı: gerekçeler
FBI IC3 ve CISA ortak bildirgesi açıktır: fidye ödeme tavsiye edilmez. Gerekçeler:
- Ödeme veri iadesini garantilemez. Anahtar gönderilse bile çalışmayan veya bozuk vakalar belgelenmiştir. Bazı gruplar parayı alır, iletişimi keser.
- Çift şantaj devam eder. Ödeseniz bile sızdırılan veri leak site'a yüklenebilir veya başka gruba satılabilir.
- Aynı gruba finansman. Bir kurban ödediğinde, grup ekosistemine para girer, sonraki saldırıların hacmi artar.
- KVKK defansı yoktur. "Fidye ödeyip veriyi kurtardık" KVKK ihlal sürecinde geçerli savunma değildir. İhlal yine bildirilmek zorundadır.
- OFAC sanksiyon riski. Bazı ransomware grupları (Conti'nin ardılları, Evil Corp bağlantılı gruplar) ABD OFAC listesindedir. Bu gruplara ödeme yapmak veya aracılık etmek, ABD bağlantılı kuruluşlar için yasa ihlali olabilir.
Saat 12-24: forensic ve recovery paralel
Bu son pencerede iki ayrı ekip aynı anda çalışır:
Adli bilişim ekibi: Etkilenen makinelerin bit-bit imajını alır. Write blocker üzerinden disk imajı, hash doğrulama (SHA-256), zaman damgalı tutanak. RAM dump'tan şifreleme anahtarı arama. Saldırı zaman çizelgesi çıkarma: ilk erişim, lateral movement, persistence, exfiltration, encryption.
IR (Incident Response) ekibi: Temiz ortamda sistemi yeniden ayağa kaldırır. Air-gapped yedekten restore. Active Directory tier-0 sıfırlama (krbtgt çift reset). Tüm parolaların değiştirilmesi. MFA aktivasyonu. EDR yaygınlaştırma. Saldırı vektörü kapatma (örneğin açık RDP varsa kapatma, eksik patch varsa uygulama, exposed VPN endpoint varsa MFA zorlaması).
İki ekip aynı anda çalışırken kanıt zincirinin bozulmaması için forensic ekibin imajları alması, IR ekibinin orijinal sistemlere değil restore edilmiş ortama müdahale etmesi gerekir.
"Çift şantaj" ne demek?
Modern ransomware operasyonları (Big Game Hunting) iki aşamalıdır:
- Exfiltration: Saldırgan ağa sızar, haftalarca (bazen aylarca) içeride durur, hassas veriyi dışarı kopyalar. Mega.nz, AnonFiles, kendi C2 sunucuları kullanılır.
- Encryption: Veri dışarıda olduğu teyit edildikten sonra şifreleme tetiklenir. Fidye notunda hem decryptor ücreti hem "veri yayınlamama" ücreti talep edilir.
Çift şantaj senaryosunda yedekten restore etseniz bile veri sızıntısı gerçekleşmiştir. KVKK ihlal bildirimi zorunludur. Veri leak site'ında (örneğin LockBit'in tarihsel veri ifşa sayfaları, MOVEit kampanyasında 2023'te Cl0p'un yayınladığı binlerce kurum) yayın yapılırsa ek itibar zararı doğar.
Decryptor mevcut aileler
No More Ransom Project, Europol ve özel sektör ortaklığıyla yayınlanan ücretsiz decryptor veritabanıdır. 2026 itibarıyla decryptor mevcut olan aileler arasında öne çıkanlar:
- STOP/Djvu (offline ID ile şifrelenmiş varyantlar)
- GandCrab v1 ila v5 (Bitdefender ortaklığıyla)
- Maze (sızdırılan anahtarlar)
- REvil/Sodinokibi (FBI 2022'de master anahtar yayınladı)
- Lockfile, Babuk (kaynak kodu sızdırılan aileler)
- HermeticRansom
Crypto Sheriff aracına şifreli dosya örneği ve fidye notu yüklenir, sistem aileyi tanımlamaya çalışır.
Yedek yoksa veri kurtarma şansı
Yedek yok, decryptor yok ise umut tamamen bitmiş değildir. Alternatif yollar:
- Volume Shadow Copy: Eğer ransomware vssadmin ile silmediyse, sistem geri yükleme noktalarından parsiyel kurtarma.
- Önceki dosya sürümleri: Windows File History, macOS Time Machine yerel snapshot'ları.
- Klon imaj üzerinden veri taşıma blokları: Forensic disk imajı üzerinden file carving teknikleri.
- Database transaction log replay: SQL Server, PostgreSQL, MySQL gibi sistemlerde transaction log'lardan kısmi kurtarma.
Bu seçenekler için detaylı süreç veri kurtarma makalesinde anlatılıyor. Adli bilişim + veri kurtarma birleşik yaklaşımı önemlidir, çünkü kurtarılan veri mahkemede delil değeri taşıyacaksa zincir korunmalıdır.
Sigorta dosyası
Siber sigortanız varsa poliçeyi okuyun:
- Ransomware kapsamda mı?
- Fidye ödemesi sigorta tarafından karşılanıyor mu? (2023 sonrası birçok poliçe bu kalemi hariç tutuyor.)
- "Act of war" istisnası var mı? (Devlet destekli saldırılar bazı poliçelerde kapsam dışı bırakılıyor.)
- Bildirim süresi nedir? (Genellikle 24-72 saat.)
- Onaylı IR sağlayıcı listesi var mı? (Sigortacı kendi panelindeki ekipleri zorunlu kılabilir.)
Küresel referans vakalar
İlk müdahalede yol gösterici olan, kamuoyuna açık vakalar:
- Colonial Pipeline (2021): ABD yakıt boru hattı, DarkSide grubu, 5 gün operasyonel kesinti, FBI sonrasında ödenen kriptonun bir kısmını geri aldı. Vaka raporu CISA arşivinde mevcut.
- MOVEit (2023): Cl0p grubu, MOVEit Transfer SQL injection açığı, binlerce kurum etkilendi, klasik şifreleme yerine sadece exfiltration + şantaj senaryosu.
- JBS Foods (2021): Dünyanın en büyük et işleyicisi, REvil, üretim duruşu.
- Irish HSE (2021): İrlanda sağlık sistemi, Conti, hastane operasyonlarının haftalarca aksaması.
Bu vakalarda ortak çıkarım: ilk 24 saatte alınan kararlar (ne ödendi, ne bildirildi, ne paylaşıldı) sonraki ayların kayıp hesabını belirlemiş.
Sonraki 30 gün: post-incident
İlk 24 saatten sonra başlayan iyileştirme döngüsü:
- Penetration test ve red team simülasyonu.
- Kök sebep analizi (RCA) raporu.
- Active Directory ve kimlik altyapısı sıfırlama.
- MDR (Managed Detection and Response) veya 24/7 SOC abonelik.
- Çalışan farkındalık eğitimi (özellikle phishing simülasyonu).
- Backup stratejisi gözden geçirme (3-2-1-1-0 kuralı: 3 kopya, 2 farklı medya, 1 offsite, 1 offline, 0 doğrulanmamış restore).
- IR playbook revizyonu.
SSS
Fidye ödesem veri geri gelir mi?
Garanti yok. FBI vaka istatistiklerinde ödeme yapan kurumların önemli bir kısmı ya çalışmayan anahtar aldı, ya kısmi veri geri kazandı, ya da hiç yanıt alamadı. Çift şantaj senaryosunda veri ifşası da ayrıca devam edebilir.
USOM'a bildirim zorunluluğum var mı?
Kritik altyapı kapsamındaysanız (enerji, finans, telekom, sağlık, ulaştırma, su, kritik kamu hizmeti) evet, zorunlu. Diğer sektörlerde gönüllü ama tavsiye edilir, çünkü koordinasyon ve TTP istihbaratı paylaşımı erişiminiz olur.
KVKK ihlali bildirmezsem ne olur?
Bildirim yükümlülüğünün ihlali idari para cezası ile sonuçlanır. Ayrıca etkilenen kişilerin tazminat davası açma hakkı saklıdır. KVKK Kurumu'nun düzenli yayınladığı veri ihlali bildirimleri sayfası, hangi şirketlerin nasıl ceza aldığını gösterir.
Şifreli dosyaları silsem mi sakla mı?
Saklayın. Bazen aylar sonra decryptor çıkıyor. No More Ransom veritabanı sürekli güncellenir. Şifreli dosyaları soğuk depolamaya (external disk, offline) almak makul.
Sigortam ransomware'i karşılar mı?
Poliçeye bağlı. 2023 sonrası birçok sigortacı fidye ödemesi kalemini hariç tutmaya başladı, ancak IR maliyetleri, iş kesinti zararı, hukuki danışmanlık ve KVKK ceza riskini kapsamaya devam ediyor. Poliçe metni kritik.
Yedek de şifrelendiyse ne yapabilirim?
Cloud replikasyonu (bulaşma öncesi snapshot varsa), önceki yedek rotasyonları, immutable storage opsiyonu (varsa). Yoksa decryptor + veri kurtarma yoluyla parsiyel kurtarma.
Decryptor varsa nasıl bulurum?
No More Ransom Crypto Sheriff aracına şifreli dosya örneği + fidye notu yükleyin. ID-Ransomware servisi alternatif. Aile tanımlandığında decryptor varsa indirebilirsiniz.
DSET ile çalışmak
DSET (Doğanay Siber Emniyet Teknolojileri), Hacettepe Teknokent Ankara merkezli olarak fidye yazılım vakalarında 24/7 acil müdahale hattı işletir. Hizmet kapsamı:
- İlk 1 saat içinde uzaktan triage başlatma.
- Adli bilişim imajlama (write blocker, hash doğrulama, ISO 27037 uyumlu).
- USOM ve KVKK bildirim danışmanlığı.
- No More Ransom decryptor analizi.
- Yedek yoksa veri kurtarma laboratuvarı desteği.
- Sonraki 30 günde post-incident sertleştirme.
Pillar makale: Türkiye Siber Tehdit Manzarası 2026. İlgili cluster: adli bilişim incelemesi, veri kurtarma.
Acil müdahale hattı: +90 536 662 38 09 Adres: Hacettepe Teknokent, Ankara
Kaynaklar: USOM, KVKK, CISA Stop Ransomware, No More Ransom, ENISA Ransomware, NIST SP 800-61, FBI IC3.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.