 |
Muut verkkotunnukset myös meidän kautta
07 12 2015
Kiristyshaittaohjelma TeslaCrypt leviää sähköpostitse
tietoturva, haittaohjelma, kyberturvallisuusKiintolevyt ja verkkolevyt salaava edistynyt kiristyshaittaohjelma TeslaCrypt leviää haitallisten sähköpostiliitteiden välityksellä. Viime aikoina TeslaCryptiä on tavattu paljon myös Suomessa.
Tiedot salaava kiristyshaittaohjelma uhkaa myös Suomessa
Viime päivinä Euroopan alueella, myös Suomessa, on havaittu kehittyneen TeslaCrypt-kiristyshaittaohjelman levittämistä haitallisten sähköpostiliitteiden välityksellä. Mikäli käyttäjä avaa liitteenä zip-tiedoston sisällä olevan .js-tiedoston, käyttäjän koneelle latautuu TeslaCrypt-haittaohjelma murrettujen verkkosivujen kautta.
TeslaCrypt käyttää vahvaa salausmenetelmää, eikä salausta ole mahdollista purkaa ilman salaukseen käytettyä avainta. Rikolliset vaativat lunnaita avaimen sisältävän palautustyökalun luovuttamiseksi.
Tarkista, suodata ja varmuuskopioi
Kyberturvallisuuskeskus suosittelee seuraavia toimenpiteitä kiristyshaittaohjelmilta suojautumiseksi:
- Tarkista huolellisesti saamasi sähköpostiviestit, ennen kuin avaat niiden liitteitä. TeslaCrypt-kiristyshaittaohjelmia levittäneissä viesteissä on havaittuja tunnusmerkkejä on lueteltu tämän artikkelin loppupuolella.
- Mikäli mahdollista, tarkasta sähköpostijärjestelmästänne onko näihin tunnistetietoihin viittaavia viestejä lähetetty organisaationne sähköpostiosoitteisiin.
- Mikäli mahdollista, suodata tai ohjaa karanteeniin sähköpostijärjestelmästänne tunnistetietoja vastaavat sähköpostit.
- Sähköpostisuodattimissa ja sähköpostien haittaohjelmaskannereissa on havaittu hankaluuksia tunnistaa tiedostot haitallisiksi .js-tiedoston obfuskoinnista johtuen.
- Varotoimenpiteenä voi ohjata karanteeniin sähköpostiviestit, joissa liitteenä on .js-tiedoston sisältävä .zip-tiedosto.
- Varmuuskopioi tiedostosi säännöllisesti ja säilytä ne erillään tietokoneesta. Tarkista varmuuskopion palautuksen toimivuus.
Älä maksa lunnaita, ota yhteyttä Kyberturvallisuuskeskukseen
Pyydämme olemaan yhteydessä Kyberturvallisuuskeskukseen mahdollisissa tartuntatapauksissa sekä havainnoista.
Mikäli TeslaCrypt on onnistunut salaamaan tiedostot, on suositeltavaa palauttaa tiedostot mahdollisuuksien mukaan varmuuskopioista. TeslaCryptin versiosta riippuen tästä salaukseen käytetystä avaimesta saattaa jäädä kopio myös Windows-käyttöjärjestelmän sisälle. Tällöin tiedostojen palauttaminen saattaa olla mahdollista ilman lunnaiden maksua. Tämä vaatii avaimen löytämistä sekä erityistyökalun käyttöä.
Lunnaiden maksu ei ole suositeltavaa, sillä tämä lisää rikollisten mielenkiintoa levittää tällaisia kirityshaittaohjelmia. Ei ole myöskään mitään takuita siitä, että tiedostot saisi takaisin lunnaiden maksamisen jälkeen. Kyberturvallisuuskeskuksen tiedossa on useita tällaisia tapauksia.
Näin tunnistat TeslaCrypt-haittaviestit
Toistaiseksi havaituissa TeslaCryptiä levittäneissä sähköposteissa on havaittu seuraavanlaisia tunnistetietoja:
Liitetiedostot:
- Liitetiedosto nimeltä "love.zip" jonka sisällä on tiedosto nimeltä "info.js"
- Liitetiedosto "img.zip" jonka sisällä on tiedosto nimeltä "img.js"
- Liitetiedosto nimeltä "live.zip" tai "statement.zip"
- Liitetiedosto nimeltä "part1.zip"
- Liitetiedoston nimi on muotoa "*etunimi*_resume_*neljä numeroa*.zip" (esim. "maribeth_resume_7996.zip")
- Liitetiedoston nimi on muotoa "task*10 numeroa*.zip" (esim. "task0000261520.zip")
- Liitetiedoston nimi on muotoa"invoice_*8 numeroa*_copy_.zip" (esim. "invoice_85773314_copy_.zip")
- Liitetiedostojen nimi voi olla muukin ja niiden sisällä on aina haitallinen .js-tiedosto.
Viestin otsikko
- Viestin otsikkona (Subject) on viestin lähetysajanhetken aikaleima muotoa "11/29/2015 4:30:09 pm"
- Viestin otsikkona on "invoice from passion beauty supply ltd"
- Viestin otsikkona on "your ticket order #*10 numeroa* approved" esim. "your ticket order #0000889687 approved"
Pyydämme olemaan havainnoista yhteydessä Kyberturvallisuuskeskukseen erityisesti, jos viesteissä esiintyy uudenlaisia tiedostonimiä tai otsikkoja.
Päivityshistoria
- 02.12.2015 klo 12:07Julkaistu
- 02.12.2015 klo 13:09Korjattu tunnistetietoja
- 02.12.2015 klo 19:48Korjattu kuvausta TeslaCryptin käyttämästä salausmenetelmästä
- 03.12.2015 klo 09:36Lisätty tunnistetietoja
- 04.12.2015 klo 09:07Lisätty haitallisten viestien tunnistetietoja
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.