Dridex-haittaohjelmaa levitetään edelleen sähköpostin liitetiedostoissa. Myös suomalaisia kohteita havaittiin runsaasti jo viime vuoden aikana. Dridex pyrkii varastamaan erityisesti rahaliikenteeseen liittyviä tietoja. Epäilyttäviä liitteitä tuntemattomista tai väärennetyiltä vaikuttavista lähteistä ei pidä avata.

Dridex-troijalasta levitetään Office-tiedostojen avulla, joita lähetetään sähköpostin liitetiedostona. Maailmalla paljon levitetty haittaohjelma on Viestintäviraston Kyberturvallisuuskeskuksen havaintojen mukaan yleistynyt myös Suomessa.

Haittaohjelman levitykseen käytetyt liitetiedostot ovat yleisimmin Office-tiedostoja (Word tai Excel). Office-liitteet käynnistävät avattaessa makrokoodin, joka lataa ja suorittaa varsinaisen haittaohjelman käyttäjän huomaamatta. Officen asetuksissa on syytä estää makrojen suorittaminen verkosta ladatuilta tiedostoilta.

Dridex-haittaohjelma on erityisen kiinnostunut rahaliikenteeseen liittyvien tietojen, kuten luottokorttinumeroiden varastamisesta. Haittaohjelma sisältää myös muita uhrin vakoilemiseen ja tietojen varastamiseen soveltuvia ominaisuuksia sekä se pystyy lataamaan uhrin koneelle muita haittaohjelmia. Haittaohjelma voi muodostaa merkittävän uhan kotikäyttäjien lisäksi myös yrityksille.

Mistä troijalaisen tunnistaa?

Haitallisen liitetiedoston sisältävän sähköpostin lähettäjäksi voi olla merkitty joku omasta organisaatiosta. Sähköposti voi väittää liitettä laskuksi tai muuksi tositteeksi.

Viime viikkoina Suomessa on havaittu useita kopiokoneen tai skannerin lähettämäksi tekaistuja haittaposteja, joiden lähettäjänimenä on "copier@[organisaatio].fi" tai "KONICA_MINOLTA@[organisaatio].fi". Se ei silti tarkoita, että organisaatiosi kopiokone tai tietokone olisi viruksen saastuttamia, vaan viesti on voitu lähettää mistä vain väärennetyllä nimellä.

Liitteitä avatessa kannattaa olla tarkkana, sillä troijalaisetkin voivat olla nimettyjä uskottavasti. Liitteen nimenä voi olla esimerkiksi "SKM_[numerosarja].doc", "contract.doc", "statement.doc", tai jopa vastaanottajan nimelle räätälöity "etunimi_sukunimi_statement.doc". Liitteitä ei pidä avata.

Useimmat tietoturvaohjelmistot tunnistavat haitalliset Office-tiedostot.

Estä makrojen tarpeeton suorittaminen

Tietojärjestelmien ylläpito voi suojata organisaatiota makrojen avulla levitettäviltä haittaohjelmilta muun muassa seuraavien ohjeiden avulla:

• Estä asiakirjojen makrojen oletusarvoinen suorittaminen.
• Ohjeista käyttäjiä varovaisuuteen sähköpostilla saapuvien makroja sisältävien Office-tiedostojen käsittelyssä.
• Jos tarvitset makroja esimerkiksi asiakirjapohjissa organisaatiosi sisällä, salli vain tietyissä tiedostoissa tai tietyn hakemiston tiedostoissa olevat makrot ja estä muut.
• Muista säännöllinen varmuuskopiointi siltä varalta, että saat haittaohjelmatartunnan.

Myös jokaisen tietokoneenkäyttäjän tulee olla valppaana:

• Älä avaa sähköpostilla saamiasi tiedostoja harkitsematta. Mieti, miten voit varmistua viestin aitoudesta ennen viestin avaamista. Sähköposti on helppo väärentää näyttämään organisaation sisäiseltä postilta.
• Älä tee itsestäsi isoa ja näkyvää maalia. Mieti, ennen kuin annat yhteystietojasi, kuten sähköpostiosoitettasi, verkkosivuille. Luotatko, että sivuston haltija säilyttää ja käyttää tietojasi oikein?

Miten haittaohjelmasta pääsee eroon?

Jos haittaohjelma kuitenkin pääsee tarttumaan varotoimenpiteistä huolimatta, Viestintäviraston Kyberturvallisuuskeskuksen teema-artikkeli "Älä panikoi, näin pääset eroon haittaohjelmasta" neuvoo toimenpiteistä.

Lisätietoja:

Dridex-pankkitroijalainen leviää sähköpostin välityksellä - Tietoturva nyt! 4.11.2015

[Teema] Älä panikoi, näin pääset eroon haittaohjelmasta- Tietoturva nyt! 13.10.2014

Makroja hyödynnetään taas onnistuneesti haittaohjelmien levittämisessä - Tietoturva nyt! 18.5.2015

Dridex Botnet Resumes Spam Operations After the Holidays - FireEye 29.1.2016

Pankkitunnusten kalastelukampanjat jatkuvat aktiivisina.

Kyberturvallisuuskeskus on seurannut viime aikoina käynnissä ollutta pankkitunnusten kalastelukampanjaa, jota on tehty ainakin Nordean nimissä. Tietojenkalastelusivustoja on havaittu lähiaikoina useita kappaleita päivässä. Kun uusia sivustoja havaitaan, niistä lähetetään irtikytkemispyyntö vekkopalvelun ylläpitäjille Kyberturvallisuuskeskuksen toimesta.

Pankkitunnuksia kalastelevien sivujen linkkejä on jaettu sähköpostilla, jonka otsikkona on ollut ainakin "Verkkopankin Päivittää". Viestissä pyydetään kirjautumaan verkkopankkiin päivityksen suorittamiseksi sähköpostissa olevan linkin kautta. Linkki johtaa ohjaa väärennetylle sivustolle, jolla pyritään varastamaan käyttäjän pankkitunnukset.

Esimerkki tietojenkalastelusivustosta:

Pikaohje:

• Pankki ei ota yhteyttä sähköpostitse tai puhelimitse kysyäkseen verkkopankkitunnuksia, kortin tietoja tai henkilötunnuksia.
• Käytä kirjanmerkkiä verkkopankin sivuille siirtymiseen tai kirjoita osoite itse selaimen osoiteriville.
• Tarkista, että verkkosivun osoite vastaa oman pankkisi nimeä (esimerkiksi nordea.fi tai op.fi).
• Tarkista, että selaimen osoiterivillä on lukittu lukkoikoni, joka on https-salauksen tunnusmerkki. Yleensä tietojenkalastelusivuilta puuttuu yhteuden salaus.

Havaituista tietojenkalastelusivustoista voi ilmoittaa Viestintäviraston Kyberturvallisuuskeskukselle sähköpostitse osoitteeseen cert@ficora.fi.

Jos olet syöttänyt omat pankkitietosi tietojenkalastelusivulle, ole välittömästi yhteydessä omaan pankkiisi.

Lisätietoja:

• http://www.nordea.com/fi/media/uutiset-ja-lehdistotiedotteet/News-fi/2016/2016-02-01-huijausviesteja-liikkeella.html
• Tietoturva nyt! - Pankkitunnusten kalastelukampanja jälleen aktiivinen (14.9.2015)

Julkaistu

Kiintolevyt ja verkkolevyt salaavasta kiristyshaittaohjelma TeslaCryptistä on löytynyt vikoja, jotka voivat mahdollistaa salattujen tiedostojen palauttamisen. Kaikissa tapauksissa salattuja tietoja ei kuitenkaan ole mahdollista palauttaa.

TeslaCrypt-kiristyshaittaohjelmasta löytynyt vikoja

Viime aikoina Euroopan alueella ja myös Suomessa levinneestä TeslaCrypt-kiristyshaittaohjelmasta on löytynyt vikoja, jotka voivat mahdollistaa salattujen tiedostojen purkamisen. TeslaCryptin käyttämä salausmenetelmä itsessään on vahva mutta sen käyttämässä tavassa varastoida salaukseen käytettävät avaimet on löytynyt heikkouksia, jotka voivat mahdollistaa salattujen tietojen palauttamisen.

TeslaCrypt-haittaohjelmasta löytyneet viat voivat mahdollistaa vanhempien TeslaCrypt-versioiden saastuttamien tietojen palauttamisen. Tutkijoiden löytämien vikojen avulla voi olla mahdollista purkaa salaus tiedostoista, joiden tiedostopääte on .ECC, .EZZ, .EXX, .XYZ, .ZZZ,.AAA, .ABC, .CCC, ja .VVV. Uudemmissa TeslaCryptin versioissa tutkijoiden löytämät viat ovat korjattu ja ne tallentavat salatut tiedostot .TTT, .XXX ja .MICRO -tiedostopäätteilä.

Salattuja tiedostoja voi yrittää palauttaa TeslaCrack ja TeslaDecoder -ohjelmilla. Tiedostojen palauttamiseen tarkoitetut sovellukset eivät takaa tiedostojen palauttamisen onnistumista ja siksi onkin syytä ottaa varmuuskopio myös salatusta tiedostosta. TeslaCrack on toteutettu Pythonilla ja sen käyttö tapahtuu komentoriviltä.

Lisätietoja TestaCrypt-haittaohjelmasta ja siihen liittyvistä sähköpostitunnisteista löytyy joulukuussa julkaistusta Tietoturva nyt! -artikkelista.

Älä maksa lunnaita, ota yhteyttä Kyberturvallisuuskeskukseen

Pyydämme olemaan yhteydessä Kyberturvallisuuskeskukseen mahdollisissa tartuntatapauksissa sekä havainnoista.

Mikäli TeslaCrypt on onnistunut salaamaan tiedostot, on suositeltavaa ensisijaisesti pyrkiä palauttamaan tiedostot varmuuskopioista. Toissijaisena vaihtoehtona voi pyrkiä purkamaan tiedostot esim. TeslaCrack tai TeslaDecoder sovelluksilla.

Lunnaiden maksu ei ole suositeltavaa, sillä tämä lisää rikollisten mielenkiintoa levittää tällaisia kirityshaittaohjelmia. Ei ole myöskään mitään takuita siitä, että tiedostot saisi takaisin lunnaiden maksamisen jälkeen. Kyberturvallisuuskeskuksen tiedossa on useita tällaisia tapauksia.

Lisätietoja:

Kiristyshaittaohjelma TeslaCrypt leviää sähköpostitse - Tietoturva nyt! 2.12.2015

http://www.bleepingcomputer.com/news/security/teslacrypt-decrypted-flaw-in-teslacrypt-allows-victims-to-recover-their-files/

TeslaDecoder

TeslaDecoder Support Topic

TeslaCrack