Huolellisuus verkkoselailussa, päätelaitteen päivittämisessä ja virussuojauksessa estää liki kaikki haittaohjelmatartunnat. Jos oma päätelaite kuitenkin saastuu, se on usein vielä pelastettavissa. Tärkeää on huomata haittaohjelmatartunta nopeasti ja puhdistaa laite esimerkiksi luotettavalla virustorjuntaohjelmalla. Tässä artikkelissa päätelaitteella tarkoitetaan tietokoneita ja mobiililaitteita kuten matkapuhelimia tai tabletteja.

Ennaltaehkäisy on helpompaa kuin jälkien siivoaminen

Ohjelmistopäivitykset sisältävät usein runsaasti tietoturvaan liittyviä korjauksia. Siksi päätelaite, jonka käyttöjärjestelmä ja siinä käytetyt ohjelmistot on pidetty ajan tasalla, on turvallisempi ja vähemmän altis haittaohjelmatartunnalle kuin päivittämätön. Haittaohjelma voi tarttua päätelaitteeseen esimerkiksi www-selailun yhteydessä murretun verkkosivuston välityksellä. Tyypillisesti saastumiselle alttiissa järjestelmässä käytetään vanhentunutta selainta, käyttöjärjestelmää tai liitännäissovelluksia (muun muassa Adobe Flash Player tai Java). Myös USB-muistitikku tai sähköpostiviestin liitetiedosto voi toimia haittaohjelman välittäjänä ja tartuttaa päätelaitteen. Verkosta ladattavat ohjelmatkin voivat sisältää haitallista koodia, siksi tällaisten ohjelmien alkuperä on syytä tarkistaa.

Hyvinkin ylläpidetty päätelaite voi saada haittaohjelmatartunnan tuoreesta haavoittuvuudesta, jos esimerkiksi päätelaitteen virustorjunta ei tunnista tuoretta haittaohjelmaa tai ohjelmaan ei ole vielä päivitettyä versiota saatavilla. Päätelaitteelle pesiytynyt haittaohjelma voi saattaa laitteen käyttäjän yksityisyyden ja tiedot vaaraan. Haittaohjelma voi kerätä esimerkiksi käyttäjätunnus ja salasana -yhdistelmiä eri palveluihin kirjauduttessa (engl. keylogger) tai se voi avata laitteeseen takaoven (engl. backdoor), joka tarjoaa hyökkääjälle pääsyn käyttäjän päätelaitteelle verkon yli. Päätelaite saatetaan myös valjastaa osaksi bottiverkkoa. Tällaiseen bottiverkkoon koottuja tietokoneita voidaan käyttää esimerkiksi roskapostittamiseen tai hajautettuihin palvelunestohyökkäyksiin (engl. DDoS, Distributed Denial of Service).

Haittaohjelmatartuntojen suuri määrä kertoo niiden olevan varsin yleisiä. Valitettavan suuri osa verkon käyttäjistä saa tietokoneeseensa tai älykännykkäänsä haittaohjelman huolellisesta varautumisestaan huolimatta. Haittaohjelmien välttämiskeinojen lisäksi on myös hyvä tietää, miten haittaohjelmatartunnan voi huomata päätelaitteessaan ja miten tällaisessa tilanteessa tulee toimia.

Miten haittaohjelmatartunta havaitaan?

Jos päätelaitteen virustorjuntaohjelmisto hälyttää, se on todennäköisesti havainnut jotain vahingollista käyttäjän tiedostoissa. Virustorjunta ei kuitenkaan tunnista kaikkia haittaohjelmia. Myös päätelaitteen normaalista poikkeava toiminta voi viitata haittaohjelmatartuntaan. Seuraavat oireet herättävät epäilyksiä tartunnasta:

• itsekseen aukeavat mainosikkunat
• koneen merkittävä hidastuminen
• tunnistamattomat tai omituiset prosessit
• saat nettiliittymän palveluntarjoajalta ilmoituksen haittaohjelmahavainnosta.

Kiristyshaittaohjelmat ja tiedostot salaavat haittaohjelmat esittävät käyttäjälle kiristysilmoituksen, joka kertoo tartunnasta. Alla esimerkki CryptoLocker-haittaohjelman kiristysilmoituksesta.

Mitä tehdä, jos olet saanut haittaohjelmatartunnan?

• Älä hätäänny.
• Tarkista päätelaite ja pyri poistamaan haittaohjelma virustorjuntaohjelmiston avulla.
• Hankalasti poistettavien haittaohjelmien kanssa voidaan tarvita esimerkiksi torjuntaohjelmistojen valmistajien tarjoamia korjaus-CD:n (engl. recovery/rescue CD) tai USB:n kaltaisia apuvälineitä.
• Selvitä, onko tälle haittaohjelmalle julkaistu erityisiä poisto-ohjeita.

Hankalissa tapauksissa päätelaite on tyhjennettävä kokonaan ja käyttöjärjestelmä asennettava uudelleen (esim. itsensä piilottavat rootkit-tyyppiset haittaohjelmat). Tällöin ajantasaiset, ennen saastumista otetut varmuuskopiot ovat helppo tapa palauttaa tiedostot. Jo saastuneesta päätelaitteesta otetun varmuuskopion palauttaminen voi saastuttaa laitteen uudelleen, sillä se saattaa samalla sisältää "varmuuskopion" haittaohjelmasta! Käyttäjän tietoja salakirjoittavat haittaohjelmat tekevät tietojen siirtämisen saastuneesta järjestelmästä puhtaaseen järjestelmään mahdottomaksi. Turvallisin tapa saada haittaohjelmalla saastunut tietokone uudelleen käyttöön on alustaa levyt ja asentaa käyttöjärjestelmä uudelleen.

Muista tarkistukset!

Yleiset haittaohjelmat

Viestintäviraston Kyberturvallisuuskeskuksen Autoreporter-järjestelmä kerää jatkuvasti tietoa verkoissa liikkuvista haittaohjelmista. Elokuussa 2014 yleisimmät haittaohjelmahavainnot olivat:

• ZeroAccess
• Conficker
• Zeus
• Torpig.

Nämä ovat Windows-käyttöjärjestelmille suunnattuja niin sanottuja "troijalaisia", eli haittaohjelmia, joita kyetään räätälöimään monenlaiseen haitalliseen käyttötarkoitukseen. Alustavan tartunnan jälkeen troijalaisen avulla voidaan uhrin koneelle siirtää toinen haittaohjelma, jonka toimintaperiaate vaihtelee. Tyypillisesti troijalaisten avulla levitetään esimerkiksi salasanoja urkkivia keylogger-ohjelmia, pankkihaittaohjelmia tai valjastetaan päätelaitteita osaksi bottiverkkoa.

Suomessa, viikoilla 31 - 35, Autoreporter-järjestelmä keräsi yhteensä 5693 haittaohjelmahavaintoa, jotka jakautuivat haittaohjelmittain seuraavasti:

Näiden haittaohjelmien lisäksi käyttäjiä ovat pitkään kiusanneet kiristyshaittaohjelmat (Ransomware), jotka esittävät käyttäjälle tekaistun viranomaisilmoituksen, jossa vaaditaan sakkomaksua. Tästä ikävämpiä versioita ovat päätelaitteen tiedostoja salaavat kiristyshaittaohjelmat, jotka vaativat lunnasrahoja tiedostojen avaamiseksi. Osa kiristyshaittaohjelmista toimii ainoastaan selaimessa, eivätkä ne saastuta tietokonetta. Näiltä voi suojautua esimerkiksi asentamalla selaimeensa liitännäisen (mm. ScriptBlock, NoScript), joka estää JavaScript-ohjelmakoodin ajamisen muilla kuin erikseen hyväksytyillä sivustoilla. Mainostenestoliitännäisten (mm. AdBlock) avulla voi suojautua mainosverkkojen ylitse levitettäviltä haittaohjelmilta.

Lisätietoja:

• Ransomware
• Tiedostoja salaavat haittaohjelmat mm. Cryptolocker, Cryptowall
• Huijaavat sovellukset
• Ohje 1/2012 Kiristyshaittaohjelman poistamisesta koneelta

ICT-Palvelut tarjoaa monipuoliset ja luotettavat varmuuskopiointiratkaisut sekä kaikkiin laitteisiin soveltuvat haittaohjelmien ja virusten poistotyökalut. Kysy lisää myynnistämme.