Dridex-haittaohjelmaa levitetään edelleen sähköpostin liitetiedostoissa. Myös suomalaisia kohteita havaittiin runsaasti jo viime vuoden aikana. Dridex pyrkii varastamaan erityisesti rahaliikenteeseen liittyviä tietoja. Epäilyttäviä liitteitä tuntemattomista tai väärennetyiltä vaikuttavista lähteistä ei pidä avata.

Dridex-troijalasta levitetään Office-tiedostojen avulla, joita lähetetään sähköpostin liitetiedostona. Maailmalla paljon levitetty haittaohjelma on Viestintäviraston Kyberturvallisuuskeskuksen havaintojen mukaan yleistynyt myös Suomessa.

Haittaohjelman levitykseen käytetyt liitetiedostot ovat yleisimmin Office-tiedostoja (Word tai Excel). Office-liitteet käynnistävät avattaessa makrokoodin, joka lataa ja suorittaa varsinaisen haittaohjelman käyttäjän huomaamatta. Officen asetuksissa on syytä estää makrojen suorittaminen verkosta ladatuilta tiedostoilta.

Dridex-haittaohjelma on erityisen kiinnostunut rahaliikenteeseen liittyvien tietojen, kuten luottokorttinumeroiden varastamisesta. Haittaohjelma sisältää myös muita uhrin vakoilemiseen ja tietojen varastamiseen soveltuvia ominaisuuksia sekä se pystyy lataamaan uhrin koneelle muita haittaohjelmia. Haittaohjelma voi muodostaa merkittävän uhan kotikäyttäjien lisäksi myös yrityksille.

Mistä troijalaisen tunnistaa?

Haitallisen liitetiedoston sisältävän sähköpostin lähettäjäksi voi olla merkitty joku omasta organisaatiosta. Sähköposti voi väittää liitettä laskuksi tai muuksi tositteeksi.

Viime viikkoina Suomessa on havaittu useita kopiokoneen tai skannerin lähettämäksi tekaistuja haittaposteja, joiden lähettäjänimenä on "copier@[organisaatio].fi" tai "KONICA_MINOLTA@[organisaatio].fi". Se ei silti tarkoita, että organisaatiosi kopiokone tai tietokone olisi viruksen saastuttamia, vaan viesti on voitu lähettää mistä vain väärennetyllä nimellä.

Liitteitä avatessa kannattaa olla tarkkana, sillä troijalaisetkin voivat olla nimettyjä uskottavasti. Liitteen nimenä voi olla esimerkiksi "SKM_[numerosarja].doc", "contract.doc", "statement.doc", tai jopa vastaanottajan nimelle räätälöity "etunimi_sukunimi_statement.doc". Liitteitä ei pidä avata.

Useimmat tietoturvaohjelmistot tunnistavat haitalliset Office-tiedostot.

Estä makrojen tarpeeton suorittaminen

Tietojärjestelmien ylläpito voi suojata organisaatiota makrojen avulla levitettäviltä haittaohjelmilta muun muassa seuraavien ohjeiden avulla:

• Estä asiakirjojen makrojen oletusarvoinen suorittaminen.
• Ohjeista käyttäjiä varovaisuuteen sähköpostilla saapuvien makroja sisältävien Office-tiedostojen käsittelyssä.
• Jos tarvitset makroja esimerkiksi asiakirjapohjissa organisaatiosi sisällä, salli vain tietyissä tiedostoissa tai tietyn hakemiston tiedostoissa olevat makrot ja estä muut.
• Muista säännöllinen varmuuskopiointi siltä varalta, että saat haittaohjelmatartunnan.

Myös jokaisen tietokoneenkäyttäjän tulee olla valppaana:

• Älä avaa sähköpostilla saamiasi tiedostoja harkitsematta. Mieti, miten voit varmistua viestin aitoudesta ennen viestin avaamista. Sähköposti on helppo väärentää näyttämään organisaation sisäiseltä postilta.
• Älä tee itsestäsi isoa ja näkyvää maalia. Mieti, ennen kuin annat yhteystietojasi, kuten sähköpostiosoitettasi, verkkosivuille. Luotatko, että sivuston haltija säilyttää ja käyttää tietojasi oikein?

Miten haittaohjelmasta pääsee eroon?

Jos haittaohjelma kuitenkin pääsee tarttumaan varotoimenpiteistä huolimatta, Viestintäviraston Kyberturvallisuuskeskuksen teema-artikkeli "Älä panikoi, näin pääset eroon haittaohjelmasta" neuvoo toimenpiteistä.

Lisätietoja:

Dridex-pankkitroijalainen leviää sähköpostin välityksellä - Tietoturva nyt! 4.11.2015

[Teema] Älä panikoi, näin pääset eroon haittaohjelmasta- Tietoturva nyt! 13.10.2014

Makroja hyödynnetään taas onnistuneesti haittaohjelmien levittämisessä - Tietoturva nyt! 18.5.2015

Dridex Botnet Resumes Spam Operations After the Holidays - FireEye 29.1.2016