Kiristyshaittaohjelma TeslaCrypt on tarttunut useisiin tietokoneisiin

Joulukuun aikana TeslaCrypt-tartunnat ovat lisääntyneet huomattavasti. Kyseessä on tietokoneen tiedostot salaava kiristyshaittaohjelma. Kaikkia Windows-tietokoneiden käyttäjiä kehotetaan varovaisuuteen ja tarkkaavaisuuteen sähköpostin liitetiedostojen ja webbilinkkien käsittelyssä. Omat tiedostot kannattaa varmuuskopioida ja huolehtia, että haittaohjelmien torjuntaohjelma on kunnossa.

TeslaCryptin aiheuttama uhka

Kiristyshaittaohjelma TeslaCrypt toimii PC-tietokoneiden Microsoft Windows -käyttöjärjestelmissä ja salaa tietokoneen tiedostojen sisällön käyttäen vahvaa AES-salakirjoitusmenetelmää.

Se voi salata tiedostoja myös tietokoneeseen liitetyillä verkkolevyillä, ulkoisilla kiintolevyillä ja jopa kiintolevyasemaksi liitetyillä DropBox-tileillä, jos käyttäjällä on niihin kirjoitusoikeus. Se poistaa kiintolevyltä tiedostojen Shadow Volume -kopiot, jotta tiedostojen palauttaminen olisi vaikeaa.

Haittaohjelma esittää uhrille lunnasvaatimuksen, jonka mukaan lunnaat maksamalla salaus puretaan.

TeslaCrypt käyttää symmetristä salausta eli salauksen purku tapahtuu samalla avaimella kuin salakirjoituskin. Jotkin keväältä 2015 peräisin olevat TeslaCryptin versiot käsittelevät salausavainta siten, että kiristyksen uhrin on mahdollista saada avain käsiinsä maksamatta lunnaita. Tuoreemmissa versioissa tätä heikkoutta ei kuitenkaan ole; haittaohjelma siirtää salausavaimen kiristäjille ennen kuin uhri huomaa tilanteen vakavuuden.

Kyberturvallisuuskeskus on seurannut TeslaCrypt-tilannetta aktiivisesti ja tiedottanut joulukuun alussa haittaohjelman aktiivisesta levittämisestä.

Joulukuun aikana Kyberturvallisuuskeskus on saanut kotimaisista tartunnoista useita ilmoituksia päivässä, ja niiden määrä lisääntyy yhä. On silti epätodennäköistä, että kaikki tartunnat olisivat tulleet Kyberturvallisuuskeskuksen tietoon.

Varoituksen kohderyhmä

  • Windows-tietokoneiden käyttäjät ja ylläpitäjät
  • Organisaatioiden tietohallinnosta ja tietoturvasta huolehtivat henkilöt

Ratkaisu- ja rajoitusmahdollisuudet

Tartunnan ehkäisy ja varautuminen

Tärkeintä on tietokoneiden käyttäjien valveutuneisuus. TeslaCryptiä levitetään monien muiden haittaohjelmien tavoin sähköpostin liitetiedostoina ja murrettujen verkkosivujen kautta, joille on istutettu haittaohjelmien jakelualusta. Odottamatta tulevia ja epäilyttävän näköisiä sähköpostiviestejä ei tule avata tai klikata linkkejä epäilyttävissä sähköposti- tai sosiaalisen median viesteistä.

Kyberturvallisuuskeskus painottaa ennaltaehkäisyn tärkeyttä. Tiedostojen varmuuskopiointi aktiivisesti ja säännöllisesti on tärkeää.

Haittaohjelmien torjunta kannattaa pitää ajan tasalla. Torjuntaohjelmat tunnistavat ja poistavat TeslaCryptin varsin hyvin, kunhan tunnistekanta on päivitetty ja normaalit torjuntaominaisuudet päällä.

Tietokoneen käyttöjärjestelmä ja sovellukset kannattaa pitää päivitettyinä. Verkkosivuilla olevat haittaohjelmien jakelualustat käyttävät hyväkseen uhrin tietokoneessa olevien ohjelmien haavoittuvuuksia. Jos tunnetut haavoittuvuudet on paikattu asentamalla ohjelmien tuoreimmat versiot, tartunnat ovat epätodennäköisempiä.

Sähköpostijärjestelmien ja lähiverkkojen ylläpitäjät voivat suodattaa epäilyttäviä liitetiedostoja haittaohjelmien torjuntaohjelmilla, tunkeutumisen torjuntajärjestelmillä (IPS) ja asettamalla epäilyttävät liitetiedostot karanteeniin.

Alla on sähköpostin tunnistetietoja, joista voi tunnistaa TeslaCryptin levittämisen.

Sähköpostiviestien otsikoita:

  • Unpaid Invoice from Staples Inc., Ref. numerosarja
  • Your account has a debt and is past due
  • Agri Basics invoice #8 numeroa and 7 numeroa
  • Reference Number #8 numeroa, Last Payment Notice
  • viestin lähetysajanhetken aikaleima muotoa "11/29/2015 4:30:09 pm"
  • invoice from passion beauty supply ltd
  • your ticket order #10 numeroa approved
  • new payment for tax refund #8 numeroa
  • november invoice #8 numeroa

Erilaisia otsikoita tulee koko ajan lisää.

Sähköpostin liitetiedostojen nimiä:

  • scan_invoice_8 numeroa.zip
  • invoice_8 numeroa_copy.doc
  • invoice_8 numeroa_copy_.zip
  • invoice_8 numeroa.zip
  • tax_refund_8 numeroa.zip
  • "love.zip" jonka sisällä on tiedosto nimeltä "info.js"
  • "img.zip" jonka sisällä on tiedosto nimeltä "img.js"
  • doc.zip
  • live.zip
  • statement.zip
  • part1.zip
  • etunimi_resume_neljä numeroa.zip
  • task10 numeroa.zip
  • 10 numeroa.zip

Liitetiedostojen nimi voi olla muukin. zip-tiedostojen sisällä on aina haitallinen .js-tiedosto.

Alla on tuore kuva sähköpostiviestistä, jolla on levitetty TeslaCryptiä.

Tunnistetiedoista kerrotaan lisää myös varoituksen lopussa.

Toipuminen tartunnan tapahduttua

Tartunnasta on joitakin mahdollisuuksia toipua. Toipuminen vaatii kuitenkin aina huomattavaa vaivannäköä.

  • Jos osaaminen ja aika riittävät, kannattaa saastunut tietokone sulkea välittömästi ja ottaa salattujen kiintolevyjen sisällöstä puhtaalla tietokoneella täydet levykopiot. Näin salausprosessin saa pysähtymään siltä varalta, että kaikkia tiedostoja ei ole vielä salattu, ja kopioihin voi rauhassa kokeilla jo olemassa olevia tai tulevaisuudessa kehitettäviä purkumenetelmiä.
  • Saastuneella tietokoneella kannattaa ajaa ajantasainen haittaohjelmien torjuntaohjelma. Torjuntaohjelmat tunnistavat ja poistavat TeslaCryptin. Tämä ei kuitenkaan vielä pura tiedostojen salausta.
  • Jos varmuuskopiot ovat kunnossa, ne voi haittaohjelman poiston jälkeen palauttaa.
  • Tiedostojen palauttamista voi yrittää myös Windowsin Shadow Volume -kopioista. TeslaCrypt yrittää poistaa Shadow Volume -kopiot, mutta saattaa joskus epäonnistua siinä.
  • TeslaCryptin joidenkin versioiden salauksen voi yrittää purkaa tarkoitusta varten kehitetyillä ilmaisilla purkutyökaluilla. Yksi on saatavilla Ciscolta ja toinen BleepingComputer-yhteisöltä.

Viestintäviraston Kyberturvallisuuskeskus suosittelee, että kiristäjille ei makseta lunnaita. Lunnaiden maksaminen pitää yllä rikollista toimintaa eikä salauksen purkamisesta sittenkään ole takeita.

Tartunnasta kannattaa tehdä myös rikosilmoitus poliisille.

Lisätietoa

Päivityshistoria

Asiasanat: Tietoturva , Haittaohjelma , Huijaus , Roskaposti , Salaus , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248