Güvenlik & SSL

    Ransomware (Fidye Yazılımı) Nedir ve Nasıl Korunulur?

    Fidye yazılımının bulaşma yollarını, verdiği zararı ve yedekleme temelli korunmayı anlatan güvenlik rehberi.

    12 dk okuma Güncellendi: 10 Temmuz 2026

    Ransomware, yani fidye yazılımı, bir sunucudaki ya da bilgisayardaki dosyaları güçlü şifreleme algoritmalarıyla erişilemez hâle getirip, çözüm anahtarı karşılığında para talep eden bir kötü amaçlı yazılım türüdür. Saldırgan verilerinizi silmez, çalmadığı sürece kopyalamaz bile; sadece kilitler. Ekranda karşınıza bir "fidye notu" çıkar, genellikle Bitcoin gibi kripto paralarla belli bir süre içinde ödeme yapmanız istenir, aksi hâlde anahtarın yok edileceği ya da çalınan verilerin sızdırılacağı söylenir. İş sürekliliğinin dijitale bağlı olduğu bir dünyada bu, bir web sitesinin, bir e-ticaret veritabanının ya da bir muhasebe sunucusunun dakikalar içinde tamamen işlevsiz kalması demektir.

    Yıllarca "bu benim başıma gelmez" diye düşünen küçük işletmelerin başına da geldi bu iş. Ransomware operatörleri artık büyük kurumları hedef alan seçici saldırganlar değil; otomatik tarama botları internetteki her açık portu, her güncellenmemiş eklentiyi, her zayıf parolayı gece gündüz tarıyor. Bir paylaşımlı hosting hesabından kurumsal bir VDS'e kadar internete bakan her sistem potansiyel hedef. Bu rehberde fidye yazılımının teknik olarak ne yaptığını, sunuculara hangi kapılardan girdiğini, fidye ödemenin neden çözüm olmadığını ve kıdemli bir sistem yöneticisinin gerçekten güvendiği korunma yöntemlerini (3-2-1 yedekleme, offline/immutable yedekler, yama disiplini ve ağ izolasyonu) somut örneklerle anlatacağız.

    Ransomware Tam Olarak Ne Yapar?#

    Fidye yazılımının çekirdeği aslında oldukça basit bir fikre dayanır: dosyalarınızı, ancak saldırganın elindeki bir anahtarla açılabilecek şekilde şifrelemek. Modern ransomware bunu genellikle hibrit şifreleme ile yapar. Her dosya rastgele üretilmiş bir simetrik anahtarla (örneğin AES-256) hızlıca şifrelenir; sonra bu simetrik anahtar, saldırganın açık RSA anahtarıyla kilitlenir. Sonuç olarak dosyaları geri açmak için gereken tek şey saldırganın özel RSA anahtarıdır ve o anahtar hiçbir zaman sizin makinenizde bulunmaz. Bu yüzden "şifreyi kendim kırarım" yaklaşımı, matematiksel olarak günümüz donanımıyla ömür yetmeyecek bir işe girişmek demektir.

    Şifreleme tamamlandığında dosyaların uzantısı değişir (.locked, .encrypted, .crypt gibi) ve her klasöre bir fidye notu bırakılır. Tipik bir Linux sunucusunda saldırının bıraktığı izleri şöyle görebilirsiniz:

    # Anormal derecede çok sayıda yeni uzantı oluşmuşsa şüphelenin
    find /var/www -type f -name "*.encrypted" | head
    find / -name "READ_ME_TO_DECRYPT.txt" 2>/dev/null
    
    # Şifreleme süreci genelde yoğun disk I/O ve CPU üretir
    iostat -x 2
    

    Son yıllarda saldırganlar tek bir baskı unsurunun yetmediğini fark etti ve "çifte şantaj" (double extortion) modeline geçtiler. Artık sadece dosyalarınızı şifrelemekle kalmıyor, önce verinin bir kopyasını dışarı sızdırıyorlar. Yani ödeme yapmazsanız hem verilerinize erişemiyorsunuz hem de müşteri bilgileriniz, sözleşmeleriniz, veritabanınız karanlık web sitelerinde yayımlanmakla tehdit ediliyor. Bu, "yedeğim var, ödemem" diyen kurumları bile köşeye sıkıştırmak için tasarlanmış bir yöntem ve KVKK açısından da ayrı bir ihlal boyutu doğuruyor.

    Sunuculara Hangi Yollardan Bulaşır?#

    Ransomware sihirle gelmiyor; her zaman somut bir giriş kapısı kullanıyor. Sunucular söz konusu olduğunda en sık karşılaştığımız yollar internete açık yönetim servisleri, güncellenmemiş uygulamalar ve zayıf kimlik doğrulama. Aşağıdaki tablo, gerçek olaylarda en çok gördüğümüz bulaşma vektörlerini ve pratik önlemlerini özetliyor:

    Bulaşma yoluNasıl işlerTemel önlem
    Açık RDP / SSH kaba kuvvetZayıf parolalar sözlük saldırısıyla kırılırAnahtar tabanlı SSH, port kısıtı, fail2ban
    Güncellenmemiş CMS ve eklentiBilinen açıktan kabuk yüklenirOtomatik yama, gereksiz eklentileri kaldırma
    Oltalama e-postası ve ekiKullanıcı makro/dosya çalıştırırE-posta filtreleme, eğitim, makro engelleme
    Sızdırılmış panel parolalarıcPanel/WHM/veritabanı erişimi ele geçer2FA, parola yöneticisi, IP kısıtı
    Tedarik zinciriGüvenilir bir güncelleme zehirlenirİmza doğrulama, sürüm sabitleme

    Web sunucularında en yaygın senaryo şudur: eski bir WordPress eklentisi ya da bir dosya yükleme formu üzerinden saldırgan sunucuya bir "web shell" bırakır, o kabuk üzerinden yetki yükseltir ve şifreleyiciyi çalıştırır. Bu yüzden uygulama katmanı güvenliği ile sunucu güvenliği ayrılamaz bir bütündür. WordPress kullanıyorsanız WordPress güvenliği rehberimizde anlattığımız sertleştirme adımları, ransomware'in ilk ayağını kesmek açısından doğrudan işe yarar.

    SSH ve panel erişimlerini kısıtlamak, saldırının en sevdiği kapıyı kapatmanın en kolay yoludur. Örneğin SSH'i yalnızca anahtarla ve belirli IP'lerden kabul edecek şekilde ayarlamak:

    # /etc/ssh/sshd_config
    PermitRootLogin no
    PasswordAuthentication no
    PubkeyAuthentication yes
    AllowUsers [email protected]
    

    Uygulama tarafında ise en tehlikeli klasörlerde PHP çalıştırmayı kapatmak, yüklenen bir dosyanın kod olarak koşmasını engeller. Nginx'te yükleme dizinini şöyle kilitleyebilirsiniz:

    location ^~ /wp-content/uploads/ {
        location ~* \.(php|phtml|pl|py|cgi)$ {
            deny all;
            return 403;
        }
    }
    

    Fidyeyi Ödemek Neden Çözüm Değil?#

    Panik anında "ödeyip kurtulalım" düşüncesi çok mantıklı gelir, ama gerçekte fidye ödemek hiçbir garanti sunmaz. Ödeme yaptığınızda karşınızda bir müşteri hizmetleri değil, suçlu bir organizasyon var. Yaptığımız kurtarma çalışmalarında ödeme yapan kurumların önemli bir kısmının ya hiç anahtar alamadığını ya da aldıkları anahtarın dosyaların yalnızca bir bölümünü açtığını gördük. Saldırganın verdiği çözücü aracı çoğunlukla aceleyle yazılmış, hatalı ve yavaştır; terabaytlarca veriyi günlerce çözmeye çalışırken bir kısmını kalıcı olarak bozabilir.

    Ödemenin garantisizliği bir yana, iki büyük risk daha vardır. Birincisi, ödeme yaptığınız an sisteminizin "ödeme yapan kurban" olarak işaretlenmesidir; aynı grup ya da bilgiyi satın alan başka bir grup birkaç ay sonra tekrar kapınızı çalar. İkincisi hukuki ve etik boyuttur: ödediğiniz para doğrudan bir suç ekonomisini finanse eder ve bazı ülkelerde yaptırım listesindeki bir gruba ödeme yapmak başlı başına suçtur. Aşağıdaki tablo iki yaklaşımı yan yana koyuyor:

    KriterFidye ödemekYedekten kurtarmak
    Başarı garantisiYok, anahtar gelmeyebilirYüksek, yedek sağlamsa kesin
    SüreBelirsiz, çözücü yavaşPlanlıysa saatler
    Tekrar hedef olmaArtarAzalır
    MaliyetFidye + kesinti + itibarYalnızca kesinti süresi
    Yasal riskYüksekYok

    Buradaki asıl mesaj şu: fidye ödemek bir güvenlik stratejisi değildir, stratejisizliğin sonucudur. Kurtarmanın gerçek anahtarı saldırganın elinde değil, sizin elinizdeki sağlam ve erişilebilir bir yedektedir. O yüzden bütçenizi ve enerjinizi ödemeye değil, ödemeyi tamamen gereksiz kılacak bir yedekleme mimarisine ayırın.

    3-2-1 Yedekleme Kuralı#

    Ransomware'e karşı elinizdeki en güçlü silah, düzgün kurgulanmış bir yedekleme stratejisidir ve bu konuda sektörün altın standardı 3-2-1 kuralıdır. Kural basit ama disiplin ister: verinizin en az 3 kopyası olsun, bu kopyalar 2 farklı ortam türünde saklansın ve 1 kopya mutlaka sahadan uzakta (offsite) dursun. Amaç, tek bir olayın (bir disk arızası, bir yangın ya da bir şifreleme saldırısı) tüm kopyaları aynı anda yok edememesini garanti altına almaktır.

    Somutlaştıralım. Bir web sunucusu için 3-2-1'i şöyle kurabilirsiniz: birinci kopya canlı sunucudaki verinin kendisi, ikinci kopya her gece alınan yerel yedek, üçüncü kopya ise farklı bir veri merkezindeki uzak depolamaya gönderilen kopya. Basit bir rsync tabanlı gece yedeği şöyle görünür:

    #!/bin/bash
    # /usr/local/bin/gunluk-yedek.sh
    STAMP=$(date +%F)
    DEST=/backup/$STAMP
    
    mysqldump --single-transaction --all-databases > /backup/db-$STAMP.sql
    rsync -a --delete /var/www/ "$DEST/www/"
    
    # Uzak (offsite) kopya
    rsync -az "$DEST/" [email protected]:/depo/$STAMP/
    
    # crontab -e
    0 3 * * * /usr/local/bin/gunluk-yedek.sh >> /var/log/yedek.log 2>&1
    

    Bir yedek stratejisinin en kritik ama en çok atlanan adımı, yedeklerin geri yüklenip yüklenmediğini test etmektir. "Yedeğim var" cümlesi, o yedekten gerçekten canlı bir sistem ayağa kaldırılana kadar sadece bir varsayımdır. Ayda en az bir kez rastgele bir yedeği boş bir sunucuya geri yükleyip veritabanının açıldığını, sitenin ayağa kalktığını doğrulayın. cPanel kullanıcıysanız bu süreci cPanel yedekleme rehberimizde adım adım gösterdik. Panelli hosting hesaplarında otomatik yedek almayı kolaylaştırmak için Clou.TR yedekleme çözümlerine de göz atabilirsiniz.

    Offline ve Değiştirilemez (Immutable) Yedekler#

    3-2-1 kuralının modern ransomware çağındaki en önemli ekidir bu başlık, çünkü saldırganlar artık ilk iş olarak yedekleri arıyor. Sunucuya erişim sağlayan bir saldırgan, sürekli bağlı (mounted) bir yedek diskini ya da yedek sunucusunun paylaşımlı bir klasörünü de şifreleyebilir. Bu yüzden en az bir yedek kopyanın ya tamamen çevrimdışı (offline, air-gapped) ya da değiştirilemez (immutable) olması gerekir. Çevrimdışı yedek, alındıktan sonra ağdan fiziksel ya da mantıksal olarak koparılan yedektir; saldırgan ona uzanamaz çünkü ortada erişilebilir bir bağlantı yoktur.

    Immutable yedek ise, yazıldıktan sonra belirli bir süre boyunca kimse tarafından (root dahil) silinemeyen ya da değiştirilemeyen yedektir. Nesne depolamada (object storage) bu, "object lock" veya WORM (write once read many) özelliğiyle sağlanır. Modern yedek araçlarıyla bunu kurmak oldukça pratiktir. Örneğin restic ile şifreli bir depoya yedek gönderip, saklama politikasını uygulamak:

    # Şifreli restic deposu (parola olmadan hiç kimse veriye ulaşamaz)
    export RESTIC_PASSWORD_FILE=/root/.restic-pass
    restic -r s3:s3.ornek.com/yedek-kova init
    
    # Gece yedeği
    restic -r s3:s3.ornek.com/yedek-kova backup /var/www /etc
    
    # Saklama politikası: son 7 gün, 4 hafta, 6 ay
    restic -r s3:s3.ornek.com/yedek-kova forget \
      --keep-daily 7 --keep-weekly 4 --keep-monthly 6 --prune
    

    Depolama tarafında object lock'ı açtığınızda, bu yedekler belirlenen süre dolmadan silinemez; dolayısıyla sunucusu ele geçirilmiş bir saldırgan bile geçmiş yedekleri yok edemez. Küçük bir ölçekte bile aynı mantığı taşıyabilirsiniz: haftalık bir yedeği harici bir diske alıp diski çekmecede saklamak, teknolojik olarak ilkel görünse de ransomware'e karşı son derece etkili bir "air-gap"tir. Kritik olan ilke şu: saldırganın eriştiği ortamla yedeğinizin bulunduğu ortam aynı olmamalı.

    Yama Disiplini ve Ağ İzolasyonu#

    Yedek, saldırı gerçekleştikten sonra sizi kurtaran şeydir; yama ve ağ izolasyonu ise saldırının hiç gerçekleşmemesini sağlayan önlemlerdir. Ransomware'in kullandığı açıkların büyük çoğunluğu, aylar hatta yıllar önce yayımlanmış ve yaması çıkmış bilinen zafiyetlerdir. Yani saldırıların çoğu, sıfır gün açığıyla değil, basitçe güncellenmemiş sistemlerle mümkün oluyor. İşletim sistemi, web sunucusu, PHP, veritabanı, CMS ve tüm eklentiler için düzenli yama takvimi kurmak, kapıların çoğunu daha açılmadan kapatır.

    Otomatik güvenlik güncellemelerini açmak, çoğu Linux dağıtımında birkaç satırlık bir iştir:

    # Debian / Ubuntu
    apt install unattended-upgrades
    dpkg-reconfigure -plow unattended-upgrades
    
    # AlmaLinux / Rocky
    dnf install dnf-automatic
    systemctl enable --now dnf-automatic.timer
    

    İkinci koruma katmanı ağ izolasyonu, yani bir sistem ele geçse bile saldırganın yatay olarak diğer sistemlere sıçramasını engellemektir. Buna "segmentasyon" denir. Veritabanı sunucusu yalnızca uygulama sunucusundan bağlantı kabul etmeli; yönetim panelleri yalnızca VPN ya da belirli IP'ler üzerinden açık olmalı; internetten erişilmesi gereken tek şey, gerçekten internete bakması gereken servisler olmalı. Basit bir firewall segmentasyonu şöyle görünebilir:

    # Veritabanı yalnızca uygulama sunucusundan (10.0.0.5) erişilebilsin
    ufw default deny incoming
    ufw allow from 10.0.0.5 to any port 3306
    ufw allow from 203.0.113.10 to any port 22
    ufw enable
    

    Ağ izolasyonunun etkisini abartmak zor: 2010'ların büyük kurumsal ransomware felaketlerinin çoğu, tek bir masaüstünden başlayıp düz bir ağda her sunucuya yayılabildiği için bu kadar yıkıcı oldu. Segmentasyon uygulanmış bir ağda ise saldırı, girdiği ilk bölmede sıkışıp kalır. Sanal sunucularınızı ayrı özel ağlarda konumlandırmak istiyorsanız Clou.TR sanal sunucu çözümleri ile her katmanı izole tasarlayabilir; yönetim yükünü bize bırakmak isterseniz sunucu yönetimi hizmetimizden yararlanabilirsiniz. Uygulama katmanındaki saldırıları filtrelemek için bir web uygulama güvenlik duvarı (WAF) ise ilk giriş vektörlerini büyük ölçüde kapatır.

    Bir Saldırı Anında İlk 60 Dakika#

    Tüm önlemlere rağmen bir olayla karşılaşırsanız, ilk saatte atacağınız adımlar hasarın ne kadar yayılacağını belirler. Panik değil, plan işe yarar. İlk refleksiniz "kapatıp bakalım" değil, "izole edip durdurmak" olmalı. Şifreleme süreci hâlâ devam ediyor olabilir ve sistemi ağdan koparmak, hem yayılmayı hem de veri sızmasını kesecektir. Aşağıdaki sırayı bir kontrol listesi gibi izleyin:

    • Etkilenen sunucuyu ağdan izole edin (kabloyu çekin ya da firewall'da tüm trafiği kesin), ama kapatmayın; bellekteki deliller kaybolmasın.
    • Yedeklerinizi hemen çevrimdışına alın ki saldırgan onlara da ulaşamasın.
    • Olayın kapsamını belirleyin: hangi sistemler, hangi veriler etkilendi?
    • Fidye notunu, uzantıları ve zaman damgalarını kanıt olarak saklayın; log'ları kopyalayın.
    • Temiz bir ortamda, sağlam yedekten geri yükleme sürecini başlatın; kesinlikle enfekte sistemin üzerine yazmayın.
    • Girişin nereden geldiğini bulmadan sistemi tekrar canlı ortama almayın; aksi hâlde aynı açıktan tekrar bulaşır.

    Kurtarmayı her zaman temiz bir sistemde yapın. Enfekte sunucuyu "temizleyip" devam etmeye çalışmak, gizli kalmış bir web shell ya da zamanlanmış görev yüzünden sizi birkaç gün sonra aynı noktaya döndürebilir. Doğru yaklaşım, sunucuyu sıfırdan kurmak, sağlam yedekten veriyi taşımak ve ancak giriş noktası kapatıldıktan sonra yayına almaktır. Bu geçişi bizim altyapımızda yapmak isterseniz site taşıma hizmetimiz süreç boyunca yanınızda olur.

    Sıkça Sorulan Sorular#

    Ransomware verilerimi çalar mı yoksa sadece şifreler mi?#

    Klasik fidye yazılımları yalnızca dosyaları şifrelerdi, ancak günümüzdeki grupların çoğu "çifte şantaj" uyguluyor. Bu modelde saldırgan önce verinizin bir kopyasını sunucudan dışarı sızdırır, sonra kalanı şifreler. Böylece yedeğiniz olsa bile "ödemezseniz verileri yayımlarız" tehdidiyle sizi köşeye sıkıştırmaya çalışır. Bu nedenle bir olay yaşandığında sadece kurtarmayı değil, olası bir veri ihlali bildirimini de değerlendirmeniz gerekir.

    Antivirüs yazılımı ransomware'i tek başına engeller mi?#

    Antivirüs faydalı bir katmandır ama tek başına yeterli değildir. İmza tabanlı yazılımlar yalnızca daha önce görülmüş tehditleri tanır; her gün yeni varyant üreten saldırganlar bu imzaların önünde koşar. Gerçek koruma katmanlı yaklaşımdan gelir: güncel yama, güçlü kimlik doğrulama, ağ izolasyonu ve en önemlisi saldırgana ulaşamayacağı yerde duran sağlam yedekler. Antivirüsü bu zincirin tek bir halkası olarak görün, tamamı olarak değil.

    Yedeğim var, yine de fidye ödemem gerekir mi?#

    Sağlam, test edilmiş ve saldırganın erişemediği bir yedeğiniz varsa şifreleme sorununu ödemeden çözebilirsiniz. Ödemeyi düşündürten tek şey, çifte şantajda sızdırılan verinin yayımlanma tehdidi olabilir; bu da bir güvenlik değil, bir hukuki ve itibar meselesidir ve ödeme yapmak yayımlanmayacağının garantisi değildir. Genel kural şudur: teknik kurtarma için asla ödemeyin, çünkü yedeğiniz zaten çözümdür.

    Paylaşımlı hosting kullanıyorum, ben de hedef miyim?#

    Evet, hatta otomatik botlar açısından en sık taranan hedeflerden birisiniz. Paylaşımlı hostingte saldırılar genellikle güncellenmemiş bir CMS ya da eklenti üzerinden gelir. Sağlayıcının sunucu düzeyindeki korumaları bir kısmını durdursa da, uygulamanızın güvenliği sizin sorumluluğunuzdadır. Eklentilerinizi güncel tutmak, güçlü parola ve iki adımlı doğrulama kullanmak, düzenli yedek almak paylaşımlı ortamda sizi büyük ölçüde korur.

    Yedeklerimin ransomware'den etkilenmediğinden nasıl emin olurum?#

    En sağlam güvence, yedeği alındıktan sonra ağa erişilemez hâle getirmektir. Sürekli bağlı bir yedek diskini ya da yazılabilir bir ağ paylaşımını saldırgan da şifreleyebilir, o yüzden en az bir kopyanız çevrimdışı veya değiştirilemez (immutable, object lock) olmalıdır. Emin olmanın ikinci yolu düzenli geri yükleme testidir: ayda bir rastgele bir yedeği boş bir ortama geri yükleyip verinin açıldığını doğrulamadan o yedeğe güvenmeyin.

    Şifrelenen dosyaları ücretsiz kurtaran araçlar var mı?#

    Bazı eski ya da kötü yazılmış ransomware türleri için güvenlik firmalarının yayımladığı ücretsiz çözücüler mevcuttur ve resmî "No More Ransom" gibi kaynaklarda listelenir. Ancak modern, düzgün yazılmış fidye yazılımları güçlü asimetrik şifreleme kullandığı için bu araçlar çoğu vakada işe yaramaz. Bu yüzden çözücü umuduna bel bağlamak yerine, kurtarmayı garanti eden tek şey olan yedeklemeye yatırım yapmak çok daha akıllıcadır.

    Kapanış#

    Ransomware, teknik olarak karmaşık görünse de aslında disiplinle yenilebilen bir tehdittir. Formül nettir: giriş kapılarını yama ve ağ izolasyonuyla kapatın, saldırgan yine de içeri girerse yayılmasını segmentasyonla sınırlayın ve en kötü senaryoda bile fidyeyi tamamen anlamsız kılacak sağlam, test edilmiş, offline veya immutable yedeklere sahip olun. Fidye ödemek bir strateji değil, hazırlıksızlığın faturasıdır; bu faturayı hiç ödememenin yolu ise bugünden kurulan sağlam bir altyapıdır.

    Clou.TR olarak bu katmanların hepsini tek çatı altında sunuyoruz. Otomatik ve uzak konumlu yedekler için yedekleme çözümlerimize, izole ve yönetilen sunucular için sanal sunucu ve sunucu yönetimi hizmetlerimize, uygulama katmanı koruması için WAF ve SSL ürünlerimize göz atabilirsiniz. WordPress tarafında ek koruma isterseniz WordPress bakım hizmetimiz güncellemeleri ve yedekleri sizin yerinize düzenli olarak yürütür. Verinizi kaybetmeden önce değil, kaybetme ihtimalini ortadan kaldırmak için harekete geçin.

    GüvenlikMalwareYedekleme

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.