Kiristyshaittaohjelma TeslaCrypt leviää sähköpostitse

Kiintolevyt ja verkkolevyt salaava edistynyt kiristyshaittaohjelma
TeslaCrypt leviää haitallisten sähköpostiliitteiden välityksellä. Viime
aikoina TeslaCryptiä on tavattu paljon myös Suomessa.

Tiedot salaava kiristyshaittaohjelma uhkaa myös Suomessa

Viime päivinä Euroopan alueella, myös Suomessa, on havaittu kehittyneen
TeslaCrypt-kiristyshaittaohjelman levittämistä haitallisten
sähköpostiliitteiden välityksellä. Mikäli käyttäjä avaa liitteenä
zip-tiedoston sisällä olevan .js-tiedoston, käyttäjän koneelle latautuu
TeslaCrypt-haittaohjelma murrettujen verkkosivujen kautta.

TeslaCrypt käyttää vahvaa salausmenetelmää, eikä salausta ole
mahdollista purkaa ilman salaukseen käytettyä avainta. Rikolliset
vaativat lunnaita avaimen sisältävän palautustyökalun luovuttamiseksi.

Tarkista, suodata ja varmuuskopioi

Kyberturvallisuuskeskus suosittelee seuraavia toimenpiteitä
kiristyshaittaohjelmilta suojautumiseksi:

1. *Tarkista huolellisesti saamasi sähköpostiviestit*, ennen kuin avaat
niiden liitteitä. TeslaCrypt-kiristyshaittaohjelmia levittäneissä
viesteissä on havaittuja tunnusmerkkejä on lueteltu tämän artikkelin
loppupuolella.
*

*

2. Mikäli mahdollista/, /*tarkasta sähköpostijärjestelmästänne* onko
näihin tunnistetietoihin viittaavia viestejä lähetetty
organisaationne sähköpostiosoitteisiin.
3. Mikäli mahdollista, *suodata tai ohjaa karanteeniin
sähköpostijärjestelmästänne* tunnistetietoja vastaavat sähköpostit.
* Sähköpostisuodattimissa ja sähköpostien
haittaohjelmaskannereissa on havaittu hankaluuksia tunnistaa
tiedostot haitallisiksi .js-tiedoston obfuskoinnista johtuen.
* Varotoimenpiteenä voi ohjata karanteeniin sähköpostiviestit,
joissa liitteenä on .js-tiedoston sisältävä .zip-tiedosto.
4. *Varmuuskopioi *tiedostosi säännöllisesti ja säilytä ne erillään
tietokoneesta. Tarkista varmuuskopion palautuksen toimivuus.

Älä maksa lunnaita, ota yhteyttä Kyberturvallisuuskeskukseen

*Pyydämme olemaan yhteydessä Kyberturvallisuuskeskukseen mahdollisissa
tartuntatapauksissa sekä havainnoista.*

Mikäli TeslaCrypt on onnistunut salaamaan tiedostot, on suositeltavaa
palauttaa tiedostot mahdollisuuksien mukaan varmuuskopioista.
TeslaCryptin versiosta riippuen tästä salaukseen käytetystä avaimesta
saattaa jäädä kopio myös Windows-käyttöjärjestelmän sisälle. Tällöin
tiedostojen palauttaminen saattaa olla mahdollista ilman lunnaiden
maksua. Tämä vaatii avaimen löytämistä sekä erityistyökalun käyttöä.

*Lunnaiden maksu ei ole suositeltavaa*, sillä tämä lisää rikollisten
mielenkiintoa levittää tällaisia kirityshaittaohjelmia. Ei ole myöskään
mitään takuita siitä, että tiedostot saisi takaisin lunnaiden maksamisen
jälkeen. Kyberturvallisuuskeskuksen tiedossa on useita tällaisia tapauksia.

Näin tunnistat TeslaCrypt-haittaviestit

Toistaiseksi havaituissa TeslaCryptiä levittäneissä sähköposteissa on
havaittu seuraavanlaisia tunnistetietoja:

*Liitetiedostot:*

* Liitetiedosto nimeltä /”love.zip”/ jonka sisällä on tiedosto nimeltä
/”info.js”/
* Liitetiedosto /”img.zip”/ jonka sisällä on tiedosto nimeltä /”img.js”/
* Liitetiedosto nimeltä /”live.zip”/ tai /”statement.zip” /
* /Liitetiedosto nimeltä “part1.zip”/
* Liitetiedoston nimi on muotoa /”*etunimi*_resume_*neljä
numeroa*.zip” (esim. “maribeth_resume_7996.zip”)/
* Liitetiedoston nimi on muotoa /”task*10 numeroa*.zip” /(esim/.
“task0000261520.zip”/)
* Liitetiedoston nimi on muotoa //
“invoice_*8 numeroa
//
/*_copy_.zip” /(esim./”invoice_85773314_copy_.zip”/)
* Liitetiedostojen nimi voi olla muukin ja niiden sisällä on aina
haitallinen .js-tiedosto.

*Viestin otsikko*

* Viestin otsikkona (Subject) on viestin lähetysajanhetken aikaleima
muotoa /”11/29/2015 //4:30:09 pm”/
* Viestin otsikkona on /”//
invoice from passion beauty supply ltd”
/
* /
Viestin otsikkona on “your ticket order #*10 numeroa* approved”
esim. “your ticket order #0000889687 approved”
/

/

/
/
/
*Pyydämme olemaan havainnoista yhteydessä Kyberturvallisuuskeskukseen
erityisesti, jos viesteissä esiintyy uudenlaisia tiedostonimiä tai
otsikkoja.*

Kyberrikoksista jää kiinni — rikoksista kannattaa ilmoittaa

Keskusrikospoliisi tiedotti 7.12. saaneensa valmiiksi esitutkinnan
vuodenvaihteessa 2014–2015 tapahtuneista palvelunestohyökkäyksistä,
joiden kohteina oli suomalaisia pankkeja. Kyberrikoksistakin kannattaa
ilmoittaa poliisille. Ilmoitus on ainoa tapa saada tekijät vastuuseen.

Kyberrikosten tutkimista pidetään monesti vaikeana, sillä rikosten
tekijöiden on mahdollista väärentää ja hävittää monia tekojensa jälkiä.
Tekijöiden saaminen vastuuseen ei kuitenkaan ole mahdotonta, sillä
taitavakin rikollinen tekee virheitä. Rikosilmoitus on silti välttämätön
edellytys rikoksen tutkimiselle.

Vaikka kaikkia rikoksia ei saada heti ratkaistua, rikosilmoituksen
tekeminen tuoreeltaan kannattaa. Tässäkin tapauksessa vuodenvaihteen
palvelunestohyökkäyksiä tutkiessa poliisi löysi todisteita muista
samojen henkilöiden tekemiksi epäillyistä kyberrikoksista. Kun
rikoksista on ilmoitettu heti niiden tapahduttua, saa poliisi kerättyä
luotettavampaa todistusaineistoa ja voi myös torjua rikoksia.

Tekijöiksi epäillyt henkilöt ovat nuoria. Voi epäillä, etteivät he
voimiensa tunnossa ole käsittäneet tekojensa vakavuutta.
Isossa-Britanniassa samankaltainen tapaus on lokakuussa tapahtunut
teleoperaattori TalkTalkin asiakastietoihin kohdistunut tietomurto. Sen
tekijöiksi epäillyt ovat pääosin alle parikymppisiä brittejä.

Viestintäviraston Kyberturvallisuuskeskus osallistui vuodenvaihteen
palvelunestohyökkäysten selvittämiseen ja torjumiseen yhteistyössä
pankkien, poliisin, teleyritysten ja muiden CERT-toimijoiden kanssa.