Kiristyshaittaohjelmarintaman uusin tulokas on "Locky" -niminen tiedostot salaava kiristyshaittaohjelma. Haittaohjelmaa on levitetty ainakin laskuiksi naamioitujen haitallisten sähköpostiviestien avulla. Havaintoja haitallisista viesteistä on tehty myös Suomessa. Epäilyttäviin sähköpostiviesteihin on hyvä suhtautua varauksella ja niiden sisältämiä liitetiedostoja ei pidä avata.

Levitys ja toiminta

Locky -kiristyshaittaohjelmaa on levitetty pääasiallisesti sähköpostin liitteenä olevien Word-tiedostojen välityksellä. Tiedosto on vuorattu makroviruksella, joka avaamisen yhteydessä lataa ja käynnistää varsinaisen haittaohjelman käyttäjän huomaamatta.

Locky -kiristyshaittaohjelma on suunnattu Windows -tietokoneille ja se salaa tietokoneelta ja verkkojaoista löytämänsä tiedostot ja vaatii sen jälkeen lunnaita niiden avaamiseksi. Tällä hetkellä tiedossa ei ole tunnettuja keinoja purkaa Locky:n salaamia tiedostoja.

Suojautuminen

Ennalta varautuminen on paras keino suojautua kiristyshaittaohjelmilta. Epäilyttäviin sähköpostiviesteihin ja niiden sisältämiin liitetiedostoihin kannattaa suhtautua varauksella. Liitetiedostojen klikkaaminen miettimättä tarkemmin voi johtaa tilanteeseen, jossa organisaation toimintakyky heikkenee tai jopa keskeytyy hetkeksi, kun tärkeät tiedostot ovatkin yhtäkkiä salattu.

Organisaatioiden ylläpidossa kannattaa harkita Office-tiedostojen makrojen oletusarvoisen suorittamisen estämistä ja ohjeistaa käyttäjiä olemaan tarkkana sähköpostilla saapuvien makroja sisältävien Office-tiedostojen käsittelyssä.

Suunnitelmallinen varmuuskopioiden ottaminen on erittäin tärkeää ja toimivat prosessit tiedostojen palauttamiseksi auttavat toipumisessa ja pienentävät omalta osalta kiristyshaittaohjelmien aiheuttamaa uhkaa.

Lisätietoja / Tunnistetietoja

Esimerkki:

Otsikko on muotoa: ATTN: Invoice_J-<8-numeroa>, esim. alla
Otsikko: ATTN: Invoice J-11256978
Liite: invoice_J-11256978.doc

Esimerkki 2:

Lähettäjä: info@mpsmobile.de
Otsikko: Rechnung 2016-11365
Liite: 19875_Rechnung_2016-11365_20160215.docm

Tartunnan saaneen koneen taustakuva:

Salaa seuraavilla päätteillä olevat tiedostot:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, 

.qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz,

.rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff,

.NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm,

.pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB,

.SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam,

.docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps,

.sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm,

.xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml,

.txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt,

.key, wallet.dat

Mikäli tiedoston nimessä tai hakemistopolussa löytyy seuraava merkkijono, ei tiedostoja salata:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, 

thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

Komentopalvelimia / lataamiseen käytettyjä osoitteita:

109.234.38.35
173.214.183.81
193.124.181.169
195.154.241.208
195.64.154.14
46.4.239.76
66.133.129.5
86.104.134.144
91.195.12.185
iynus.net
www.iglobali.com
www.jesusdenazaret.com.ve
www.southlife.church
www.villaggio.airwave.at
luvenxj.uk

Komentopalvelinliikenne on esimerkiksi "domain/main.php" -osoitteeseen suuntautuva HTTP POST, johon komentopalvelin vastaa. Itse liikenne on salattua.

Aihetta käsitteleviä artikkeleita:

•  
•  
• http://researchcenter.paloaltonetworks.com/2016/02/locky-new-ransomware-mimics-dridex-style-distribution/
• http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/
• https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
• http://blog.dynamoo.com/2016/02/malware-spam-attn-invoice-j-06593788.html
•