Acil Durum Siber Saldırı Müdahale ve Kurtarma Planı (Windows Özel)

Bir siber saldırı (hacklenme) şüphesi anında panik yapmadan, sırasıyla aşağıdaki acil durum adımlarını uygulayın. Zaman, hasarı en aza indirmek için en önemli faktördür.

ADIM 1: Ağ ve İletişim İzolasyonu (İnterneti Kesmek)

İlk ve en acil adım, cihazın dış dünya ve saldırganla iletişimini anında koparmaktır.

* Fiziksel Müdahale: Cihaza bağlı olan Ethernet kablosunu derhal yuvasından çıkarın.

* Yazılımsal Müdahale: Denetim Masası > Ağ ve İnternet > Ağ ve Paylaşım Merkezi > "Bağdaştırıcı ayarlarını değiştirin" menüsünden aktif bağdaştırıcıya (Wi-Fi veya Ethernet) sağ tıklayıp "Devre Dışı Bırak" (Disable) deyin.

* Hızlı Terminal Komutu: Arayüzle uğraşmamak için Komut İstemi'ni (CMD) yönetici olarak açıp şu komutu girebilirsiniz: netsh interface set interface "Ethernet" disable (Eğer Wi-Fi kullanıyorsanız "Ethernet" yerine "Wi-Fi" yazın).

* Genel Ağ Koruması: Eğer ev/şirket ağındaki diğer cihazlara da sıçradığından şüpheleniyorsanız doğrudan modemi/yönlendiriciyi kapatın.

ADIM 2: Bulut Hizmetleri ve Dijital Kimlikleri Kurtarma

Cihaz izole edildikten hemen sonra temiz ve güvenli bir cihazdan (örneğin hücresel ağa bağlı telefonunuzdan) şu işlemleri yapın:

* Google Hesapları: google.com/devices adresine gidin. Hacklenen bilgisayarınıza ait tüm oturumlar için "Oturumu Kapat" işlemini uygulayın.

* Sosyal Medya (Meta vb.): Instagram veya Facebook "Hesaplar Merkezi" altındaki "Giriş Yaptığın Yerler" menüsünden bilinmeyen tüm cihazların bağlantısını kesin. Ardından tüm kritik parolalarınızı değiştirin ve Çok Faktörlü Kimlik Doğrulamayı (2FA/MFA) zorunlu hale getirin.

ADIM 3: Windows'u Güvenli Modda (Safe Mode) Başlatma

Zararlı yazılımların arkaplanda otomatik çalışmasını engellemek için sistemi temel bileşenlerle başlatın.

* Grafik Arayüz ile: Başlat menüsüne msconfig.exe yazın. "Önyükleme" sekmesinde "Güvenli önyükleme" ve "En az" seçeneklerini işaretleyip bilgisayarı yeniden başlatın.

* Terminal (CMD) ile: Grafik arayüz çalışmıyorsa CMD'yi yönetici olarak açıp bcdedit /set {current} safeboot minimal komutunu girin ve sistemi yeniden başlatın (shutdown /r). Temizlik bitip normale dönmek istediğinizde bcdedit /deletevalue {current} safeboot komutunu kullanın.

ADIM 4: Terminal Üzerinden Adli İnceleme (Threat Hunting)

Sistem Güvenli Modda veya internet kapalıyken, Yönetici Haklarıyla CMD veya PowerShell açarak zararlı yazılım tespiti yapın:

| Ne Arıyoruz | Kullanılacak Komut | Ne İşe Yarar? |

| :--- | :--- | :--- |

| Arka Plan Süreçleri | tasklist veya Get-Process | Çalışan tüm uygulamaları listeler. Sahte isimlendirmelere (svchost vb.) dikkat edin. |

| Şüpheli Ebeveyn Süreçler | wmic process get name,parentprocessid,processid | Süreçleri kimin başlattığını gösterir. Word belgesinin CMD'yi başlatması şüphelidir. |

| Gizli Parametreler | wmic process where 'ProcessID=PID' get CommandLine | Şüpheli bir sürecin (PID numarasını girerek) arka planda hangi kodlarla çalıştığını açığa çıkarır. |

| Ağ Trafiği ve Portlar | netstat -ano | Kapalı ağda dışarı veri sızdırmaya çalışan veya bekleyen (LISTENING) portları ve bu bağlantıyı yapan PID'yi gösterir. |

| Zamanlanmış Görevler | schtasks | Sisteme yerleşip kalıcılık sağlamak için oluşturulan sahte/zararlı zamanlanmış görevleri bulur. |

| Kayıt Defteri (Oto-Başlatma) | reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Bilgisayar her açıldığında otomatik çalışmaya ayarlanan .exe veya .vbs virüslerini tespit eder. |

| Sahte Kullanıcılar | net user ve net localgroup administrators | Saldırganın arka kapı için açtığı gizli yönetici hesaplarını listeler. |

ADIM 5: Çevrimdışı (Offline) Tarama ve Temizlik

Aktif virüsleri silmek zordur; sistemi kendi dışından tarayarak temizleyin:

* Microsoft Defender Offline: Windows Ayarlarından aktif edin. Sistemi izole Kurtarma Ortamında (WinRE) yeniden başlatıp gizlenmiş virüsleri siler.

* Taşınabilir (USB) Tarayıcılar: Emsisoft Emergency Kit, Norton Power Eraser veya Microsoft Safety Scanner gibi kurulum gerektirmeyen araçları indirip sistemi tarayın.

* Ağır Vakalar İçin Kurtarma Diskleri: Bilgisayar açılmıyorsa; temiz bir bilgisayarda Kaspersky veya Bitdefender Rescue Disk gibi ISO'ları bir USB belleğe yazdırın. Virüslü cihazı bu USB ile başlatıp tüm sistemi dışarıdan temizleyin.

ADIM 6: Fidye Yazılımı (Ransomware) Krizi Durumunda

Dosyalarınız .locked vb. uzantılarla kilitlenip ekranda fidye notu çıktıysa:

1. FİDYE ÖDEMEYİN: Verilerin açılacağının hiçbir garantisi yoktur ve siber suçluları finanse eder.

2. Dosyaları Silmeyin: Çevrimdışı taramayla virüsü silseniz bile, şifrelenmiş dosyaları ve fidye notunu (adli inceleme ve kurtarma için) olduğu gibi tutun.

3. Türü Tespit Edin: nomoreransom.org adresindeki "Crypto Sheriff" aracına girin. Sadece 2 adet şifrelenmiş dosyayı ve saldırganın fidye notunu sisteme yükleyin.

4. Deşifre (Decryption) İşlemi: Eğer sistem eşleşme bulursa; Avast, Bitdefender veya Kaspersky tarafından üretilmiş ücretsiz şifre çözücü aracını indirecektir. Aracı indirip çevrimdışı çalıştırarak dosyalarınızı kurtarın.

ADIM 7: Yasal İhbar Süreçleri (Türkiye)

Güvenliği sağladıktan sonra mutlaka elinizdeki loglar, dosyalar ve şüpheli IP'ler ile hukuki süreci başlatın:

* Cumhuriyet Başsavcılığı / UYAP: Hazırladığınız siber suçlar şikayet dilekçesini doğrudan adliyeye veya e-Devlet kapısı üzerinden "UYAP Vatandaş Portalı" ile iletin.

* EGM Siber Suçlarla Mücadele: Bulunduğunuz yerdeki İl/İlçe Emniyet Müdürlüklerinin Siber Suçlar şubelerine giderek donanımları veya dijital kanıt imajlarını teslim edin.

* BTK İhbarweb: Yasa dışı durumlar (bahis, istismar vb.) varsa e-Devlet üzerinden veya ihbarweb.org.tr'den kuruma bildirin.

* USOM (Ulusal Siber Olaylara Müdahale Merkezi): Zararlı bağlantıları, saldırı IP'lerini ve oltalama linklerini ulusal güvenlik kapsamında incelenmesi için usom.gov.tr üzerinden ihbar edin.

Alıntılanan çalışmalar

1. Ransomware Recovery: Step-by-Step Guide - Sangfor Technologies, https://www.sangfor.com/blog/cybersecurity/ransomware-recovery-step-step-guide

2. I've Been Hit By Ransomware! - CISA, https://www.cisa.gov/stopransomware/ive-been-hit-ransomware

3. Remove TURKEY ransomware (virus) - Recovery Instructions Included - 2-Spyware.com, https://www.2-spyware.com/remove-turkey-ransomware.html

4. See devices with account access - Google Help, https://support.google.com/accounts/answer/3067630?hl=tr

5. How to Remove Your Instagram Account from Another Device - 2025 - YouTube, https://www.youtube.com/watch?v=-w9Wdhorcm8

6. How to Remove Devices Connected to Your Instagram Account - YouTube, https://www.youtube.com/watch?v=rQTJDy53N4

7. How To Logout Of Instagram On All Devices - YouTube, https://www.youtube.com/watch?v=uwJ8GMFZ_uw

8. Mac: Boot Computer in Safe Mode with an Intel-based chip - YouTube, https://www.youtube.com/watch?v=k3S8cnlITHk

9. How do you boot Win 11 in Safe Mode? - QB64 Phoenix Edition, https://qb64phoenix.com/forum/showthread.php?tid=4053

10. How to Start Windows 11 in Safe Mode - Using bcdedit Command - YouTube, https://www.youtube.com/watch?v=ORAo8-UTxK8

11. [KB2268] Start Windows in Safe Mode or Safe Mode with Networking, https://support.eset.com/en/kb2268-start-windows-in-safe-mode-or-safe-mode-with-networking

12. Incident Response: Windows Cheatsheet GitHub, https://gist.github.com/RomelSan/9ebef17aa9aa061d6b32e2e250181942

13. Incident Response: Windows Cheatsheet - Hacking Articles, https://www.hackingarticles.in/incident-response-windows-cheatsheet/

14. How to Detect Process Injection of PowerShell Backdoor with Native CMD or Powershell commands?: r/blueteamsec - Reddit, https://www.reddit.com/r/blueteamsec/comments/yi2ccl/how_to_detect_process_injection_of_powershell/

15. Microsoft Defender Offline scan in Windows - Microsoft Defender for Endpoint | Microsoft Learn, https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-offline

16. What are the best offline antivirus scanners?... - Reddit, https://www.reddit.com/r/antivirus/comments/wst8ts/what_are_the_best_offline_antivirus_scanners_i/

17. Free Virus Scan and Removal Tool - Avast, https://www.avast.com/c-virus-removal-tool

18. Download and run Norton Power Eraser - Free virus and malware removal tool for Windows, https://support.norton.com/sp/en/us/home/current/solutions/kb20100824120155EN

19. Microsoft Safety Scanner Download - Microsoft Defender for Endpoint, https://learn.microsoft.com/en-us/defender-endpoint/safety-scanner-download

20. How to Use Bitdefender Rescue Environment, https://www.bitdefender.com/consumer/support/answer/29132/

21. How to write the image of Kaspersky Rescue Disk 18 to a USB drive or CD/DVD, https://support.kaspersky.com/krd18/howto/14226

22. Kaspersky Antivirus Rescue Disk USB Guide 2022 - YouTube, https://www.youtube.com/watch?v=r9Wezti9TUU

23. Best offline AV/Scan bootable: r/AskNetsec - Reddit, https://www.reddit.com/r/AskNetsec/comments/vvlhl7/best_offline_avscan_bootable/

24. Step 1: Download the decryption tool from - The No More Ransom Project, https://www.nomoreransom.org/uploads/StepsForDecryptionGoGoogle.pdf

25. No More Ransom - do you need help unlocking your digital life? - Europol, https://www.europol.europa.eu/operations-services-and-innovation/public-awareness-and-prevention-guides/no-more-ransom-do-you-need-help-unlocking-your-digital-life

26. Crypto Sheriff | The No More Ransom Project, https://www.nomoreransom.org/crypto-sheriff.php?lang=en

27. Home | The No More Ransom Project, https://www.nomoreransom.org/

28. Decryption Tools | The No More Ransom Project, https://www.nomoreransom.org/en/decryption-tools.html

29. Siber Suçlar Şikayet Dilekçesi Örneği (2026) - Kadim Hukuk ve Danışmanlık, https://kadimhukuk.com.tr/makale/siber-suclar-sikayet-dilekcesi-ornegi/

30. Bilişim Suçları Nereye Şikayet Edilir? Nasıl Yapılır? | Avukat Nupel Dicle OYUR, https://www.oyur.av.tr/blog-detay-Bilisim-Suclari-Nereye-Sikayet-Edilir-Nasil-Yapilir-.html

31. Teknik olarak web sitemizde kullanılan çerez türleri aşağıdaki tabloda gösterilmektedir. - Afyonkarahisar, https://afyonkarahisar.pol.tr/iletisim

32. İnternet İhbar Başvurusu - e-Devlet Kapısı, https://www.turkiye.gov.tr/btk-internet-ihbar-basvurusu

33. USOM: Ulusal Siber Olaylara Müdahale Merkezi, https://www.usom.gov.tr/