Iskikö kiristyshaittaohjelma? Varaudu ja iske takaisin!

Muutama päivä sitten maailmalla otettiin ilolla vastaan uutinen, että
TeslaCrypt-kiristyshaittaohjelman takana olevat verkkorikolliset olivat
lopettaneet kyseisen haittaohjelman toiminnan ja julkaisseet
yleisavaimen, jolla salakirjoitetut tiedostot on mahdollista palauttaa.

TeslaCryptin poistuminen kuvasta ei kuitenkaan poista
kiristyshaittaohjelmien muodostamaa uhkaa. Myös Suomessa havaitaan
tälläkin hetkellä useita eri kiristyshaittaohjelmatartuntoja, ja
tiedossa on myös vielä pinnan alla olevia nousevia uhkia uusien
kiristyshaittaohjelmien muodossa. Tietoturvaohjelmiston käytöllä,
ajantasaisilla ohjelmistopäivityksillä, sähköpostisuodatuksilla sekä
varmuuskopioiden ottamisella voidaan merkittävästi vähentää
kiristyshaittaohjelmien muodostamaa riskiä niin yksittäisille
käyttäjille kuin isommillekin organisaatioille.

TeslaCrypt-kampanja on ajettu alas, tiedostojen palautus onnistuu
purkutyökalulla

TeslaCrypt-kiristyshaittaohjelman takana olevat verkkorikolliset
julkaisivat 18.5.2016 verkkosivuillaan viestin, jonka mukaan kyseinen
projekti on lopetettu
.
Tämän yhteydessä kyseinen toimija julkaisi myös salausavaimen, jonka
avulla on mahdollista purkaa salakirjoitetut tiedostot selkokieliseen
muotoon. Nopeasti tämän jälkeen julkaistiinkin useita purkutyökaluja
tiedoston palauttamisen helpottamiseksi. Yksi tällainen on TeslaDecoder
,
joka osaa purkaa TeslaCrypt 3.x ja 4.x versioiden salakirjoittamat
tiedostot.

Viestintäviraston Kyberturvallisuuskeskus havaintojen mukaan kyseistä
haittaohjelmaa levitettiin aktiivisesti myös suomalaisille internet
käyttäjille etupäässä haittaohjelmien automaattisten
levitysjärjestelmien, kuten Angler exploit kit:in välityksellä.

Purkutyökaluja saatavilla jo useisiin kiristyshaittaohjelmiin

Monien kiristyshaittaohjelmien käyttämät salakirjoitusmenetelmät on
toteutettu heikosti, jolloin niihin on ollut mahdollista kehittää
salakirjoituksen purkava työkalu. The Windows Club -verkkosivulla on
julkaistu lista eri kiristyshaittaohjelmista, joilla on saatavilla
purkutyökalu
. Tällä
hetkellä näitä ovat ainakin seuraavat kiristyshaittaohjelmat:

* AutoLocky
* HydraCrypt
* UmbreCrypt
* CryptoLocker
* Petya
* Nemucod
* DMALocker2
* HydraCrypt
* DMALocker (3.0)
* CrypBoss
* Gomasom
* LeChiffre
* KeyBTC
* Radamant
* CryptInfinite
* PClock
* CryptoDefense
* Harasom
* TeslaCrypt
* CryptXXX
* Rector
* Rakhni
* Scatter
* Xorist
* CoinVault
* Bitcryptor

Locky-kiristyshaittaohjelma edelleen suomalaisten riesana

Vaikka TeslaCrypt onkin nyt väistynyt ongelma, useat muut
kiristyshaittaohjelmat aiheuttavat yhä merkittäviä ongelmia ympäri
maailmaa. Yksi tällainen on Locky, jota on levitetty erityisesti
sähköpostin liitetiedoston välityksellä. Kyseinen ZIP-pakattu
liitetiedosto sisältää JavaScript-tiedoston. Mikäli vastaanottaja
suorittaa kyseisen JavaScript-tiedoston, lataa se Locky-haittaohjelman
koneelle ja suorittaa sen.

Locky-kiristyshaittaohjelmalle ei ole tällä hetkellä olemassa toimivaa
purkutyökalua. Näin ollen kyseista haittaohjelmaa vastaan voi suojautua
vain ennakoivin toimenpitein, joita on lueteltu artikkelin lopussa.

Pinnan alla vaanii jatkuvasti uusia tulokkaita

Pinnalla olevien uhkien lisäksi tietoturvaammattilaiset seuraavat
aktiivisesti potentiaalisia tulevia uhkia. Muun muassa Dma Locker 4.0 ja
BadBlock -kirityshaittaohjelmat voivat muodostua merkittäväksi uhkaksi
lähitulevaisuudessa.

Dma Locker 4.0 on kyseisen kiristyshaittaohjelman uusin versio, mikä
havaittiin ensimmäisen kerran 19.5.2016
.
Toisin kuin sen edeltäjät, se hyödyntää vahvaa satunnaista AES-256
salausavainta, eikä sille ainakaan toistaiseksi ole olemassa
purkutyökalua. DMA Lockeria tiedetään olevan jaettu haittaohjelmien
automaattisten levitysjärjestelmien kautta, mikä voi tarkoittaa todella
suurta potentiaalisten uhrien määrää.

Toinen tuore kiristyshaittaohjelma on BadBlock
.
Kyseinen haittaohjelma hyödyntää myös vahvaa salakirjoitustekniikkaa,
eikä artikkelin kirjoitushetkellä siihen ole saatavilla purkutyökalua.
*Kyberturvallisuuskeskuksen havaintojen mukaan kyseistä
kiristyshaittaohjelmaa on havaittu myös Suomessa. *BadBlock leviää
erityisesti haitallisten sähköpostiliitteiden välityksellä. Onnistuneen
tarttumisen ja tiedostojen salakirjoituksen jälkeen ohjelma vaatii 2
bitcoinin lunnaita, eli noin 800 euroa.

/Kuva: BadBlock-kirityshaittaohjelman lunnasvaatimus/

/
/

Ennakoivat toimenpiteet avainasemassa kiristyshaittaohjelmilta
suojautumiseksi

Tietoturvaohjelmiston käytöllä, ajantasaisilla ohjelmistopäivityksillä,
sähköpostisuodatuksilla sekä varmuuskopioiden ottamisella voidaan
merkittävästi vähentää kiristyshaittaohjelmien muodostamaa riskiä niin
yksittäisille käyttäjille kuin isommillekin organisaatioille.

*Tietoturvaohjelmisto Windowsin tietoturvan selkärankana!*

Kiristyshaittaohjelmilta, kuin myös muilta haittaohjelmilta
suojautumisessa yhtenä keskeisenä tekijänä on Windows-tietokoneella
ajantasalla oleva oleva ja oikein konfiguroitu tietoturvaohjelmisto.
Lähtökohtaisesti tietoturvaohjelmistot lataavat päivitykset sekä
haittaohjelmien tunnistetiedot automaattisesti internetin yli. Mikäli
käytössä on tietokone joka ei ole kytketty internettiin, tulee
päivitykset siirtää koneelle esimerkiksi fyysistä mediaa käyttäen.
Tietoturvaohjelmiston kehittyneemmät toiminnallisuudet, kuten
heuristinen skannaus on myös aina syytä kytkeä päälle. Tällöin
haittaohjelmia pyritään tunnistamaan työasemassa ei vain niin sanottujen
tunnettujen sormenjälkien avulla, vaan myös niiden toimintaperiaatetta
seuraamalla.

*Päivitä, päivitä, päivitä!*

Toinen tärkeä tekijä suojautumisessa on ohjelmistopäivitykset, niin
käyttäjärjestelmän kuin ohjelmistojenkin osalta.
Windows-käyttäjärjestelmän sekä ohjelmistojen automaattisia päivityksiä
kannattaa hyödyntää aina kun mahdollista. Mikäli ohjelmisto ei tarjoa
automaattista päivitystä, on siitä huolehdittava manuaalisesti.
Haittaohjelmat hyödyntävät usein ohjelmistohaavoittuvuuksia eräänlaisena
ikkunoina päästäkseen pureutumaan syvemmälle kohteena olevaan
käyttöjärjestelmään. Ohjelmistojen valmistajien intresseissä on korjata
tunnistetut ohjelmistohaavoiuttuvuudet tuotteistaan, ja tämän myötä
sulkea ne ikkunat, joita haittaohjelman tarttuminen vaatii.

*Sähköposti – uhka ja mahdollisuus!*

Sähköpostin liitetiedostot ovat tyypillinen tapa levittää
kiristyshaittaohjelmia. Tällaisiin tapauksiin auttaa yleinen varovaisuus
sähköpostin käytössä. Epäilyttävistä lähteistä tuleviin
englanninkielisten viestien liitetiedostoihin tuleekin suhtautua
varauksella. Sähköpostijärjestelmien ylläpitäjät voivat tarjota
automaattista suojata loppukäyttäjille estämällä ZIP-tiedoston sisällä
olevien JavaScript-tiedostojen (.js) välittämisen.

*Varmuuskopiot – puolustuksen viimeinen saareke!*

Kun hyvästä valmistautumisesta huolimatta pahin koittaa, ja
kiristyshaittaohjelma kaappaa tiedostosi, nousee varmuuskopioiden
merkitys kultaakin arvokkaamaksi. Kun ajantasaiset varmuuskopiot on
olemassa, ei lunnaiden maksua tarvitse edes harkita. Sitä paitsi,
verkkorikolliset eivät luonnollisesti anna toiminnalleen mitään takuuta,
ja tiedossamme onkin useita tapauksia missä lunnaiden maksamisesta
huolimatta tiedostojen palautus jäi vain haaveeksi
.
Varmuuskopiden tarjoama suoja ei rajoitu vain kiristyshaittaohjelmiin.
Tietoa voidaan menettää mitä erikoisimmilla tavoilla; tulipalo, varkaus,
vahinko, laiterikko jne. Varmuuskopiot tarjoavat varmuutta siihen, että
tietoa ei häviä ja toiminta voi jatkua, vaikka käyttäjä kohtaisikin
jonkun näistä edellämainituista ilmiöistä.

*3-2-1 – varmuuskopioinnin kultainen sääntö!*

Varmuuskopoinnoin kultainen 3-2-1 sääntö on seuraava: kolme kopiota
kaikesta sinulle tärkeästä tiedosta, kaksi eri fyysistä formaattia ja
yksi fyysisesti eri paikassa oleva varmuuskopio. Tämä sääntö ei
tietenkään sellaisenaan sovellu kaikille käyttäjille, mutta sääntöä on
hyvä käyttää tukena kun miettii minkä arvoista tietoni on ja kuinka
hyvin sitä pitäisi suojata. Esimerkiksi yritysmaailmassa voi monesti
olla järkevää noudattaa säännön kaikkia osa-alueita, kun taas
kotikäyttäjälle voi riittää, että tiedostot sijaitsevat esimerkiksi
älylaitteessa, josta ne synkronoidaan pilvipalveluun ja käyttäjän
kotitietokoneelle. Mikäli pilvipalveluita ei haluta käyttää, tarjoaa
siirrettävät USB-massamuistit halvan ja yksinkertaisen tavan ottaa
tärkeästä tiedosta varmuuskopiot.

Verkkomainoksiin ujutettu haittakoodia

Viestintäviraston Kyberturvallisuuskeskus on saanut maanantaina 11.4.
tietoja suurten uutissivustojen mainosten kautta levitettävistä
haittaohjelmista. Tieto koskee tällä hetkellä yhtä suomalaista
uutissivustoa. Vastaavia havaintoja on myös ainakin alankomaalaisista
sivustoista. Alustavien tietojen mukaan näyttää siltä, että sekä
suomalaiset että ulkomaiset tapaukset liittyvät saman kansainvälisen
verkkomainosten jakeluyrityksen jakelemaan sisältöön.

Mainosta ei tarvitse edes klikata

Haittaohjelmat voivat levitä luotetuilla sivustoilla näytettävien
mainosten yhteydessä ilman, että sivustoa on murrettu. Mainoksen kautta
levitettävä haittaohjelma voi tarttua, vaikka käyttäjä ei klikkaisi
mitään. Haittaohjelmilta kannattaa suojautua pitämällä verkkoselaimet
päivitettyinä uusimpiin versioihin ja haittaohjelmien torjunta ajan
tasalla.

Suurten verkkosivustojen mainokset usein ladataan erilliseltä
mainospalvelimelta. Jos mainospalvelin on murrettu ja sen jakamiin
mainoksiin on ujutettu haittakoodia, samat haittamainokset voivat
levittää haitallista sisältöään kymmenillä eri sivustoilla. Tässä
tapauksessa sivustoa ei ole murrettu, vaan sivuston käyttämä
mainospalvelin. Havaitut tapaukset liittyvät saman kansainvälisen
verkkomainosten jakeluyrityksen jakelemaan sisältöön. Mainosten
levitysverkoston luonteesta johtuen on mahdollista, että muidenkin
uutissivustojen asiakkaille on näytetty haittaohjelmaan ohjaavaa mainosta.

Tyypillisin seuraus on kiristyshaittaohjelma

Nyt tietoon tulleessa tapauksessa sivustoilla näytettävät mainokset
tekivät käyttäjältä näkymättömissä uudeelleenohjauksen Angler Exploit
Kit (Angler EK) -nimiseen haittaohjelmien jakelualustaan. Angler EK:ta
on viime aikoina käytetty erityisesti tiedostot salaavien
kiristyshaittaohjelmien jakamiseen.

Haitallisille mainoksille altistunut käyttäjä ohjataan sivulle ujutetun
haittakoodin avulla varsinaisen hyökkäysohjelmiston sisältävälle
www-palvelimelle, joka selvittää käyttäjän koneella olevan selaimen sekä
siinä olevat selainlaajennokset. Mikäli käyttäjän koneesta tunnistetaan
esimerkiksi vanhentunut Adobe Flash -liitännäin, koneelle latautuu
haitallinen Flash-tiedosto. Jos selain ja sen liitännäiset on päivitetty
ajan tasalle, haittaohjelman tie tyssää tähän. Sen sijaan esimerkiksi
vanhentunutta Flash-liitännäistä käyttäville latautuu tyypillisesti
tiedostoja salaava kiristyshaittaohjelma, kuten Locky, AlphaCrypt,
TeslaCrypt tai jokin Cryptowall-versio. Haittaohjelma voi tarttua myös
Internet Explorerin tai Adobe Readerin haavoittuvuuksien

kautta.

Pidä ohjelmistot ja tietoturvaohjelmisto ajan tasalla

Tietoturvaohjelmisto saattaa estää haittaohjelman tarttumisen
mainossivustolta. Ajantasainen tietoturvaohjelmisto on erittäin
tärkeässä roolissa käyttäjien ja organisaatioiden suojaamiseksi
verkkohyökkäyksiltä. Sen lisäksi tietoturvaa kannattaa parantaa
huolehtimalla ohjelmistojen, kuten selaimen ja sen liitännäisten
tietoturvapäivityksistä.

Selainliitännäiset, kuten Adobe Flash ovat verkkorikollisten suosiossa
haittaohjelmien tartuttamiseksi levitysjärjestelmien (exploit kit)
välityksellä. Useimmissa selaimissa liitännäiset käynnistyvät
automaattisesti, ellei sitä erikseen estä. Viestintävirasto suosittelee
säätämään selaimen Click-to-Play-ominaisuudesta liitännäiset odottamaan
käyttäjän klikkausta käynnistyäkseen. Tämä on nykyään oletusarvoista
uusimpaan päivitetyssä Chromessa. Linkki kuvallisiin ohjeisiin
englanniksi
.

Suunnitelmallinen varmuuskopioiden ottaminen on erittäin tärkeää.
Toimivat prosessit tiedostojen palauttamiseksi auttavat toipumisessa ja
pienentävät kiristyshaittaohjelmien aiheuttamaa uhkaa.

OS X:lle suunnattua kiristyshaittaohjelmaa levitettiin BitTorrent -ohjelmiston kylkiäisenä

Tietoturvatutkijat ovat löytäneet ensimmäisen OS X:lle suunnatun
kiristyshaittaohjelman. Kiristyshaittaohjelmaa levitettiin troijatun
BitTorrent -asiakasohjelmiston avulla.

Levitettiin valmistajan sivujen kautta

Yleisimmin erilaisten kiristyshaittaohjelmien kohteena ovat olleet
Windows -käyttöjärjestelmällä varustetut tietokoneet. Nyt Palo Alto
Networksin tietoturvatutkijat ovat löytäneet ensimmäisen toimivan OS
X:lle suunnatun kiristyshaittaohjelman, jonka he nimesivät KeRangeriksi.

Haittaohjelmaa levitettiin troijatun Transmission BitTorrent
-asiakasohjelmiston asennustiedoston avulla. Haitallinen asennustiedosto
oli saatu ujutettua ohjelmistoa valmistavan tahon omille sivuille
normaalin latauslinkin taakse. Haitallinen ohjelmisto oli tarjolla
valmistajan sivuilla n. 4.3.2016 klo 21:00 – 6.3.2016 klo 05:00 välisenä
aikana.

Asennustiedosto oli allekirjoitettu voimassa olevalla ohjelmistojen
kehittämiseen tarkoitetulla sertifikaalilla, jonka myötä Applen
Gatekeeper -suojausmekanismi ei tarttunut haitalliseen tiedostoon.
Nyttemmin Apple on peruuttanut kyseisen sertifikaatin ja päivittänyt
XProtect -tunnisteet kyseisen haittaohjelmaperheen havaitsemiseksi.
Haitalliseksi tunnetun tiedoston avaamisen yhteydessä käyttöjärjestelmä
varoittaa tilanteesta ja kyseinen tiedosto kannattaa poistaa.

Odottaa kolme päivää

KeRangerin toimintaperiaate poikkeaa aiemmin nähtyihin
kiristyshaittaohjelmiin verrattuna hieman. Tiedostojen salaus ei ala
heti haitallisen ohjelmiston asentumisen yhteydessä, vaan se jää
nukkumaan. Toiminta käynnistyy kolmen päivän kuluttua, kun haittaohjelma
ottaa Tor-verkon yli yhteyttä komentopalvelimeen saadakseen tiedostojen
salaamiseen käytetyn julkisen avaimen sekä lunnasvaatimuksen sisältävän
tekstitiedoston.

Saatuaan tarvittavan avaimen, KeRanger salaa kaikki tietyillä
tiedostopäätteillä varustetut tiedostot /Users ja /Volumes
-hakemistoista. Lunnasvaatimus on yhden bitcoinin, joka on n. 375 euroa.

Haittaohjelma vielä kehitysvaiheessa

Tutkijoiden mukaan haittaohjelma on vielä kehitysvaiheessa. Sen koodissa
on havaittu funktioita, jotka on nimetty oletettavasti tiettyjen
toiminnallisuuksien mukaan. Mm. “_encrypt_timemachine” -funtkio
viitannee siihen, että rikollisten on tarkoitus kehittää haittaohjelmaan
toiminto, joka salakirjoittaa myös löytyvät Time Machine
-varmuuskopiotiedostot. Nyt havaituissa varianteissa kaikki
toiminnallisuudet eivät olleet käytössä.

Lunnaita ei kannata maksaa

Vaikka tällä kertaa levitystapa oli “normaalista” poikkeava, tietyt
yleiset ohjeet pätevät haittaohjelmilta suojautumiseen.

* Älä avaa tuntemattomilta lähettäjiltä tulevia sähköpostin
liitetiedostoja
* Kiinnitä huomiota siihen, mitä tiedostoja ja mistä niitä lataat
* Ota säännöllisesti varmuuskopioita, säilytä niitä erillään ja
opettele palauttamaan tiedostot

Lunnaita ei kannata maksaa. Maksaminen tukee rikollisten toimintaa, eikä
takaa sitä, että saat tiedostot takaisin.

*
*

*Päivitys 14.3.2016:*

Doctor Webin tietoturvatutkijat uutisoivat
kehittämästään
tekniikasta, joilla KeRangerin tekemän salauksen purkaminen on
mahdollista useimmissa tapauksissa. Dr. Webin asiakkaat voivat pyytää
asiakastuesta tiedostojen purkua, jos varmuuskopioita ei ole.

Useita tietojenkalastelukampanjoita käynnissä

Viestintävirasto on tiedottanyt tällä viikolla useista
tietojenkalastelukampanjoista. Huijausviestien teemat ovat liittyneet
Postiin, poliisiin, Nordea ja Danske Bank -pankkeihin. Huijausviestien
teemat voivat muuttua kampanjoiden edetessä. Huijausviestejä on
lähetetty sähköpostiviesteinä ja tekstiviesteinä. Posti- ja
poliisiteemaiset kalastelukampanjat ovat kohdistuneet kaikkien pankkien
verkkopankkitunnusten käyttäjiin.

Helsingin poliisilaitoksella on tiedossaan tähän mennessä 40 käyttäjää,
jotka ovat antaneet verkkopankkitunnuksensa tiedot huijaussivustolle
viikon aikana. Tunnuksia on käytetty välittömästi pikalainojen nostoon.

Pankki, Posti ja Poliisi eivät kysele verkkopankkitunnuksia
sähköpostilla tai tekstiviesteillä.

Varoituksen kohderyhmä

Kaikki internet-palvelujen käyttäjät

Ratkaisu- ja rajoitusmahdollisuudet

Huijausviestejä sekä viesteissä olevia linkkejä ei ole syytä avata. Jos
esimerkiksi verkkopankkitunnukset on syötetty huijaussivustolle, oman
pankin asiakaspalveluun on syytä olla välittömästi yhteydessä.