Ransomware! Kiristysohjelma koneessasi

syys 26, 2016 | Tietoturva |

ransomwareLoimaan seudulla on havaittu kasvava määrä Ransomware -virustartuntoja. Rikollisten virus lukitsee tiedostosi ja vaatii 100€ – 500€ lunnaita tiedostojen vapauttamiseksi. Älä rahoita rikollisia, vaan varaudu uhkaan!

Ransomware lukitsee tiedostosi

Loimaan ja Varsinais-Suomen talousalueella on viime aikoina havaittu hälyttävästi kasvava määrä ns Ransomware –virustartuntoja. Kyseessä ovat rikollisten tekemät virukset, joilla koitetaan kiristää uhria lukitsemalla uhrin tietokoneen tiedostoja ja pitämällä niitä ”panttivankina”. Tyypillistä virustartunnalle on tietokoneella ja palvelimella olevien tiedostojen (Word, Excel, Powerpoint, Acrobat yms) salakirjoittaminen ja lukitseminen sellaiseen muotoon, ettei niitä enää pysty avaamaan tai muuten käsittelemään.

Usein saastuneelle tietokoneelle tulee ilmoitus, jossa kerrotaan tiedostojen lukitsemisesta ja ohjeistetaan maksamaan lunnaat tiedostojen avaamiseksi. Ilmoituksessa voi olla maininta Poliisista tai jostakin muusta tunnetusta organisaatiosta, mutta tämä on osa huijausta, eikä pidä paikkaansa.

Kiristettävän rahamäärän suuruus vaihtelee, mutta on tyypillisesti 100 – 500 € / tietokone. Lunnaiden maksaminen tulisi tapahtua virtuaalivaluutta Bitcoinien (BTC ) avulla, jolloin rahasiirto on erittäin vaikeasti jäljitettävissä rikoksen tekijään. Lukittujen tiedostojen palauttamisesta ei kuitenkaan ole mitään takeita, vaikka lunnasrahat maksaisikin, joten älä maksa rikollisille!

Joidenkin kiristysohjelmien salakirjoittamat tiedostot on mahdollista palauttaa tietoturvayhtiöiden omilla työkaluilla, mutta monesti tiedostot jäävät viruksen jäljiltä käyttökelvottomiksi.

Tyypillinen tartuntatapa

  • Sähköpostin kautta lähetetty liitetiedosto, jonka avaamalla virus asentuu koneelle.
  • Sähköpostin kautta lähetetty pakattu ZIP-tiedosto (salasanasuojattu tai tavallinen), jonka sisällä olevassa tiedostossa virus on
  • Sähköpostiliitteenä lähetetty saastunut Office-dokumentti
  • WWW-sivuilta ladattu tiedosto, jonka käynnistämällä virus asentuu koneelle
  • Pikaviestimen (lync, muu chat) kautta saatu liitetiedosto
  • Facebookin kautta tarjottu linkki tai tiedostolataus

Saastuneen sähköpostin voi lähettää myös sinulle tuttu ihminen rikollisten tai viruksen kaappaaman sähköpostiosoitteen kautta. Suhtaudu varauksella kaikkiin sinulle saapuviin liitetiedoston sisältämiin viesteihin –erityisesti jos et odota saavasi sellaista.

Tyypillisiä oireita

  • Et saa esim. Word- tai Excel-tiedostoja normaalisti auki, vaan ruudulle tulee virheilmoitus
  • Joidenkin tiedostojen nimet ovat muuttuneet kummallisiksi merkkijonoiksi
  • Koneen ruudulle tulee ilmoitus, jossa vaaditaan rahaa

Näin pienennät riskejä

  • Älä avaa mitään sähköpostin liitetiedostoja, joiden lähettäjää et tunne tai joiden lähettämistä et ole odottanut.
  • Älä klikkaile tuntemattomia linkkejä, mainoksia tai epäilyttäviä facebook –kampanjoita, esim ”iphone 7 vain 1€”
  • Huolehdi, että tietokoneellasi on hyvä, ajantasainen virustorjuntaohjelmisto ja että se on päällä (kaikki toiminnot päällä)
  • Sinulla on hyvät varmuuskopiot tiedostoistasi. Koneeseen liitetty ”varmuuskopiosiirtolevy” voidaan myös salakirjoittaa, joten tämä ei ole luotettava tapa varmuuskopiointiin

Jos kone on saastunut

  • Irroita kone verkosta
  • Soita JMJ-ping päivystykseen 02 – 7631 430 (ppm/mpm)
  • Seuraa saamiasi ohjeita

Lisätietoja

Alueesi tietoturvaosaaja: jmjping.fi
Yleistä tietoa kiristysviruksista: ransomware.fi (palvelun tuottanut: Viestintävirasto, Poliisi ja F-Secure)
Viestintävirasto: cert.fi
F-secure: f-secure.fi

Janne Tapio, Tietoturva-asiantuntija, JMJping Oy, Loimaa