Kysymyksiä ja vastauksia WanaCrypt0r-haittaohjelmasta

WanaCrypt0r-kiristyshaittaohjelma on levinnyt aggressiivisesti ympäri maailmaa. Alta löydät asiantuntijoidemme kirjoittamia kysymyksiä ja vastauksia kiristyshaittaohjelmasta.

Mikä WanaCrypt0r on?

WanaCrypt0r on kiristyshaittaohjelma, joka lähti leviämään aggressiivisesti perjantaina 12.5.2017.

Se saastuttaa käyttäjän tietokoneen ja muuttaa tiedostot lukukelvottomiksi salaamalla ne. Tämän jälkeen kiristyshaittaohjelma esittää lunnasvaatimuksen, jonka mukaan uhrin on maksettava noin 300 euron lunnaat saadakseen salauksen purkuavaimen itselleen. Kiristyshaittaohjelmia on ollut olemassa jo useita vuosia, ja ne ovat keskeisiä ongelmia tietokoneenkäyttäjien tietoturvalle.

WanaCrypt0r erottuu muista kiristyshaittaohjelmista mato-ominaisuuksillaan: se leviää omatoimisesti tietokoneelta toiselle hyödyntäen käyttöjärjestelmän ohjelmistohaavoittuvuutta. Tarttuessaan tietokoneeseen WanaCrypt0r etsii sekä lähiverkosta että internetistä muita tietokoneita, jotka ovat haavoittuvia, ja asentaa itsensä niille. Näin yksi organisaation saastunut työasema voi saastuttaa kaikki organisaation verkon haavoittuvat työasemat.

Internetiin kohdistuvan skannauksen avulla WanaCrypt0r onnistui tunkeutumaan myös muihin verkkoihin esimerkiksi haavoittuvan palvelimen kautta ja levittäytymään myös verkon työasemiin. Juuri mato-ominaisuuksiensa vuoksi WanaCrypt0r levisi räjähdysmäisesti ja saastutti, viimeisimpien tietojen mukaan, yli 200 000 työasemaa ympäri maailmaa.

Alkuperäinen leviämistapa tai se, mistä WanaCrypt0rin räjähdysmäinen leviäminen on alkanut, on vielä epäselvä.

Tyypillisesti kiristyshaittaohjelmia levitetään sähköpostin liitteinä, mutta WanaCrypt0rin saamasta poikkeuksellisesta huomiosta huolimatta levitykseen käytettyjä sähköpostiviestejä ei ole löydetty.

WanaCrypt0r-saastumisia on raportoitu ainakin 150 eri maassa. Suomessa sen vaikutukset ovat olleet vähäiset, ja saastuneiden tietokoneiden määrä on Viestintäviraston tietojen mukaan noin 100. On todennäköistä, että säntillisesti ajan tasalle päivitetyt käyttöjärjestelmät ovat suojanneet Suomea hyökkäykseltä, sillä päivityspaketti on ollut saatavilla jo ennen haavoittuvuuden hyväksikäyttöä.

Mitä kiristyshaittaohjelma tekee?

Kiristyshaittaohjelmat toimivat lähes samalla tavalla versiosta riippumatta: ne lukevat käyttäjän tiedostoja, salaavat ne salalauseella ja ylikirjoittavat alkuperäiset tiedot salakirjoitetuilla versioilla.

Kiristyshaittaohjelmat etsivät tietynlaisia tiedostoja ja salakirjoittavat pääasiassa sellaisia, jotka päätteensä perusteella ovat käyttäjän laatimia. Näitä ovat muun muassa kuvat, dokumentit, tekstitiedostot ja muut vastaavat mediasisällöt. Nykyiset kiristyshaittaohjelmat poistavat myös Windows-käyttöjärjestelmän sisäisiä versiointi- ja varmuuskopiotiedostoja.

Kiristyshaittaohjelma salakirjoittaa tiedostot kaikkialta, mihin käyttäjällä on kirjoitusoikeus. Myös verkkolevyt ja kytketyt massamuistilaitteet joutuvat siis salakirjoitetuiksi.

Haittaohjelma ei salakirjoita aivan kaikkia tietokoneen tiedostoja, koska se tekisi tietokoneen käyttöjärjestelmästä käyttökelvottoman. Salakirjoittamisen jälkeen tai sen aikana ohjelma lähettää salausavaimen rikollisen ylläpitämälle komentopalvelimelle ja poistaa sen paikalliselta tietokoneelta. Salausavaimen lähettämisen jälkeen käyttäjälle esitetään kiristysviesti, joka sisältää ohjeet siitä, miten lunnaat tulee maksaa salausavaimen takaisinsaamiseksi.

Kuva: WanaCrypt0rin esittämä kiristysviesti.

Joitakin kiristyshaittaohjelmia on mahdollista purkaa tietoturvayhtiöiden laatimilla erillisillä purkuohjelmilla. Niin kutsuttu avaimeton purkaminen onnistuu kuitenkin vain, jos kiristyshaittaohjelman tekijältä on jäänyt haittaohjelmaan jokin heikkous tai virhe.

Valitettavasti nykyisiä edistyneitä kiristyshaittaohjelmia vastaan ei tällaista ohjelmaa ole mahdollista tehdä. Liikkeellä on kuitenkin runsaasti vanhempia kiristyshaittaohjelmia, joiden purkaminen on mahdollista. Lisätietoja kiristyshaittaohjelmista ja purkutyökaluja joillekin haittaohjelmille löytyy osoitteesta https://www.nomoreransom.org/fi/

Miten suojaudun haittaohjelmalta?

Kiristyshaittaohjelman iskiessä on jo myöhäistä. Tällöin ainoa tapa korjata tiedostot on palauttaa ne varmuuskopiolta. Kiristyshaittaohjelmilta suojautumiseen pätevät samat yleiset ohjeet, joiden avulla käyttäjä suojautuu muiltakin haittaohjelmilta:

  • Asenna aina ohjelmistojen ja käyttöjärjestelmän viimeisimmät päivitykset
  • Käytä korkealaatuista virustorjuntaohjelmistoa
  • Älä avaa epäilyttäviä sähköpostin liitetiedostoja
  • Älä aja tuntemattomia ohjelmia tietokoneessasi

WanaCrypt0r-haittaohjelmalta voi suojautua seuraavilla keinoilla:

  • Varmista, että tietokoneesi käyttöjärjestelmään asennettu viimeisimmät päivitykset. Käynnistä tietokone uudelleen päivitysten asentamiseksi. WanaCrypt0r käyttää hyväkseen MS17-010 -tunnisteen saanutta haavoittuvuutta, josta lisätietoja on saatavilla täältä.
  • Estä organisaation palomuurista liikenne porttiin 445 (SMB). WanaCrypt0r leviää käyttämällä SMB-protokollassa olevaa haavoittuvuutta. Estämällä SMB-protokollan käyttämän portin 445 voidaan estää haavoittuvuuden hyväksikäyttö.
  • Poista käytöstä SMB:n versio 1. SMB1 sisältää useita tunnettuja haavoittuvuuksia. Lisätietoja täältä.

Mitä teen, jos koneeni on saastunut?

Saastunut kone tulee välittömästi poistaa verkosta. Jos kiristyshaittaohjelma on jo esittänyt lunnasvaatimukset, tietojen palauttaminen ilman varmuuskopiota on todennäköisesti mahdotonta. Tietokone on turvallisinta tyhjentää ja asentaa uudestaan ja tämän jälkeen palauttaa tiedot varmuuskopiolta.

Säästä kuitenkin salakirjoitetut tiedostot, sillä on mahdollista, että salausavaimet saadaan viranomaisten haltuun esimerkiksi poliisin avulla tai haittaohjelman kehittäjä julkaisee ne itse myöhemmin syystä tai toisesta. Asiasta kannattaa myös tehdä rikosilmoitus paikallispoliisille. Kiristyshaittaohjelmien levittäminen on rikos.

Kannattaako lunnaita maksaa?

Ei. Kiristyshaittaohjelmien lunnaiden maksaminen ei takaa tietojen takaisin saantia. Lunnaiden maksaminen tukee ja auttaa kiristyshaittaohjelmien tekijöitä ja edistää haittaohjelmien tuotekehitystä, joka tähtää yhä edistyneempiin ja paremmin tehtyihin kiristyshaittaohjelmiin. Rikollisten rahallinen tukeminen on aina väärin.

WanaCrypt0rin kohdalla on todennäköistä, että sen kehittäjällä ei ole edes mahdollisuutta jakaa palautusavaimia lunnaita vastaan, sillä saastuneita koneita on poikkeuksellisen paljon. Haittaohjelma ei myöskään esitä uhreilleen yksilöllistä koodia tai tunnistetta, jolla sen laatija pystyisi automaattisesti yhdistämään salausavaimen työasemaan.

WanaCrypt0ria tutkivat tietoturva-asiantuntijat ovat päätelleet, että salausavaimet tulisi palauttaa uhreille manuaalisesti, mikä työllistäisi rikollista valtavasti. Uhrien kanssa viestiminen lisää myös rikollisen kiinnijäämisriskiä. On siis hyvin mahdollista, että haittaohjelman laatijasta ei kuulla enää ikinä mitään.

Päivityshistoria

Asiasanat: Internet , Tietoturva , Exploit , Haittaohjelma , Kiristyshaittaohjelma , Kyberrikollisuus , Kyberturvallisuus , NCSC-FI , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248