Kiristyshaittaohjelmaa levitetään aktiivisesti - Windows-järjestelmien välitön päivittäminen tärkeää

WanaCrypt0r-kiristyshaittaohjelmasta on havaintoja myös Suomessa. Haittaohjelma leviää erittäin tehokkaasti organisaation sisäverkossa mikäli haittaohjelman käyttämiä haavoittuvuuksia korjaavia suojauspäivityksiä ei ole asennettu. Microsoft on julkaissut haittaohjelmaepidemiaan liittyen tärkeitä suojauspäivityksiä myös vanhempiin käyttöjärjestelmäversioihin, mukaan lukien Windows XP.

12.5. alkanut WanaCrypt0r-kiristyshaittaohjelmakampanja on levinnyt myös Suomeen. Ensimmäisen työaseman saastumisen jälkeen haittaohjelma leviää lähiverkoissa tehokkaasti käyttäen maaliskuun Microsoft-päivityksissä korjattua SMB-haavoittuvuutta. Yritysympäristöissä päivitykset olisikin syytä asentaa viikonlopun aikana, jotta sähköpostiviestein tapahtuva saastuminen saadaan estettyä.

Haittaohjelman voi havaita seuraamalla epätyypillisiä SMB-yhteyksiä TCP-porttiin 445 lähiverkon sisällä ja sieltä ulospäin. Haittaohjelman levittämiseen käytetyistä sähköposteista ei ole tällä erää tietoja. Havaituista WanaCrypt0r-haittaohjelmaa levittävistä sähköposteista pyydetään ottamaan yhteyttä kyberturvallisuuskeskukseen.

Päivitys 15.5.2017:

Tällä hetkellä ei ole viitteitä siitä, että haittaohjelmaa olisi levitetty Microsoft Office -haavoittuvuuden tai haitallisten sähköpostien välityksellä.

Varoituksen kohderyhmä

Microsoft Windows -käyttöjärjestelmää käyttävien työasemien ja palvelimien ylläpitäjät

Ratkaisu- ja rajoitusmahdollisuudet

Kaikki Microsoft Windows -käyttöjärjestelmillä varustetut työasemat ja palvelimet on syytä päivittää mahdollisimman pikaisesti kaikilla saatavilla olevilla suojauspäivityksillä, mukaan lukien tiistaina 9.5.2017 julkaissut päivitykset. Käytettävissä olevien tietojen perusteella kiristyshaittaohjelma ei aktivoidu ja pysty leviämään organisaation sisäverkossa, jos kaikki päivitykset on asianmukaisesti asennettu.

Microsoft on julkaissut korjauksia maaliskuun suojauspäivitysten yhteydessä korjattuun SMB-haavoittuvuuteen myös käyttöjärjestelmille, joiden tuki on jo loppunut, mukaan lukien Windows XP. Kyseinen päivitys on syytä asentaa viipymättä.

Toimiva ja testattu varmuuskopiointi on tehokas tapa varmistaa tehokas palautuminen kiristyshaittaohjelmatartuntatapauksissa

Päivitys 16.5. klo 15:00:

Jos päivittäminen ei jostain syystä ole mahdollista, voi rajoituskeinona myös kytkeä haavoittuvasta laitteesta SMB v1:n pois käytöstä.

Suosittelemme estämään organisaation palomuurista liikenteen porttiin 445 (SMB-palvelu). WanaCrypt0r leviää käyttämällä SMB-protokollassa olevaa haavoittuvuutta.

Lisätietoa

WanaCrypt0r-kiristyshaittaohjelmasta merkittäviä havaintoja Euroopassa

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Päivityshistoria

Asiasanat: Internet , Tietoturva , Haittaohjelma , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248