Joulukuun aikana TeslaCrypt-tartunnat ovat lisääntyneet huomattavasti. Kyseessä on tietokoneen tiedostot salaava kiristyshaittaohjelma. Kaikkia Windows-tietokoneiden käyttäjiä kehotetaan varovaisuuteen ja tarkkaavaisuuteen sähköpostin liitetiedostojen ja webbilinkkien käsittelyssä. Omat tiedostot kannattaa varmuuskopioida ja huolehtia, että haittaohjelmien torjuntaohjelma on kunnossa.

TeslaCryptin aiheuttama uhka

Kiristyshaittaohjelma TeslaCrypt toimii PC-tietokoneiden Microsoft Windows -käyttöjärjestelmissä ja salaa tietokoneen tiedostojen sisällön käyttäen vahvaa AES-salakirjoitusmenetelmää.

Se voi salata tiedostoja myös tietokoneeseen liitetyillä verkkolevyillä, ulkoisilla kiintolevyillä ja jopa kiintolevyasemaksi liitetyillä DropBox-tileillä, jos käyttäjällä on niihin kirjoitusoikeus. Se poistaa kiintolevyltä tiedostojen Shadow Volume -kopiot, jotta tiedostojen palauttaminen olisi vaikeaa.

Haittaohjelma esittää uhrille lunnasvaatimuksen, jonka mukaan lunnaat maksamalla salaus puretaan.

TeslaCrypt käyttää symmetristä salausta eli salauksen purku tapahtuu samalla avaimella kuin salakirjoituskin. Jotkin keväältä 2015 peräisin olevat TeslaCryptin versiot käsittelevät salausavainta siten, että kiristyksen uhrin on mahdollista saada avain käsiinsä maksamatta lunnaita. Tuoreemmissa versioissa tätä heikkoutta ei kuitenkaan ole; haittaohjelma siirtää salausavaimen kiristäjille ennen kuin uhri huomaa tilanteen vakavuuden.

Kyberturvallisuuskeskus on seurannut TeslaCrypt-tilannetta aktiivisesti ja tiedottanut joulukuun alussa haittaohjelman aktiivisesta levittämisestä.

Joulukuun aikana Kyberturvallisuuskeskus on saanut kotimaisista tartunnoista useita ilmoituksia päivässä, ja niiden määrä lisääntyy yhä. On silti epätodennäköistä, että kaikki tartunnat olisivat tulleet Kyberturvallisuuskeskuksen tietoon.

Varoituksen kohderyhmä

• Windows-tietokoneiden käyttäjät ja ylläpitäjät
• Organisaatioiden tietohallinnosta ja tietoturvasta huolehtivat henkilöt

Ratkaisu- ja rajoitusmahdollisuudet

Tartunnan ehkäisy ja varautuminen

Tärkeintä on tietokoneiden käyttäjien valveutuneisuus. TeslaCryptiä levitetään monien muiden haittaohjelmien tavoin sähköpostin liitetiedostoina ja murrettujen verkkosivujen kautta, joille on istutettu haittaohjelmien jakelualusta. Odottamatta tulevia ja epäilyttävän näköisiä sähköpostiviestejä ei tule avata tai klikata linkkejä epäilyttävissä sähköposti- tai sosiaalisen median viesteistä.

Kyberturvallisuuskeskus painottaa ennaltaehkäisyn tärkeyttä. Tiedostojen varmuuskopiointi aktiivisesti ja säännöllisesti on tärkeää.

Haittaohjelmien torjunta kannattaa pitää ajan tasalla. Torjuntaohjelmat tunnistavat ja poistavat TeslaCryptin varsin hyvin, kunhan tunnistekanta on päivitetty ja normaalit torjuntaominaisuudet päällä.

Tietokoneen käyttöjärjestelmä ja sovellukset kannattaa pitää päivitettyinä. Verkkosivuilla olevat haittaohjelmien jakelualustat käyttävät hyväkseen uhrin tietokoneessa olevien ohjelmien haavoittuvuuksia. Jos tunnetut haavoittuvuudet on paikattu asentamalla ohjelmien tuoreimmat versiot, tartunnat ovat epätodennäköisempiä.

Sähköpostijärjestelmien ja lähiverkkojen ylläpitäjät voivat suodattaa epäilyttäviä liitetiedostoja haittaohjelmien torjuntaohjelmilla, tunkeutumisen torjuntajärjestelmillä (IPS) ja asettamalla epäilyttävät liitetiedostot karanteeniin.

Alla on sähköpostin tunnistetietoja, joista voi tunnistaa TeslaCryptin levittämisen.

Sähköpostiviestien otsikoita:

• Unpaid Invoice from Staples Inc., Ref. numerosarja
• Your account has a debt and is past due
• Agri Basics invoice #8 numeroa and 7 numeroa
• Reference Number #8 numeroa, Last Payment Notice
• viestin lähetysajanhetken aikaleima muotoa "11/29/2015 4:30:09 pm"
• invoice from passion beauty supply ltd
• your ticket order #10 numeroa approved
• new payment for tax refund #8 numeroa
• november invoice #8 numeroa

Erilaisia otsikoita tulee koko ajan lisää.

Sähköpostin liitetiedostojen nimiä:

• scan_invoice_8 numeroa.zip
• invoice_8 numeroa_copy.doc
• invoice_8 numeroa_copy_.zip
• invoice_8 numeroa.zip
• tax_refund_8 numeroa.zip
• "love.zip" jonka sisällä on tiedosto nimeltä "info.js"
• "img.zip" jonka sisällä on tiedosto nimeltä "img.js"
• doc.zip
• live.zip
• statement.zip
• part1.zip
• etunimi_resume_neljä numeroa.zip
• task10 numeroa.zip
• 10 numeroa.zip

Liitetiedostojen nimi voi olla muukin. zip-tiedostojen sisällä on aina haitallinen .js-tiedosto.

Alla on tuore kuva sähköpostiviestistä, jolla on levitetty TeslaCryptiä.

Tunnistetiedoista kerrotaan lisää myös varoituksen lopussa.

Toipuminen tartunnan tapahduttua

Tartunnasta on joitakin mahdollisuuksia toipua. Toipuminen vaatii kuitenkin aina huomattavaa vaivannäköä.

• Jos osaaminen ja aika riittävät, kannattaa saastunut tietokone sulkea välittömästi ja ottaa salattujen kiintolevyjen sisällöstä puhtaalla tietokoneella täydet levykopiot. Näin salausprosessin saa pysähtymään siltä varalta, että kaikkia tiedostoja ei ole vielä salattu, ja kopioihin voi rauhassa kokeilla jo olemassa olevia tai tulevaisuudessa kehitettäviä purkumenetelmiä.
• Saastuneella tietokoneella kannattaa ajaa ajantasainen haittaohjelmien torjuntaohjelma. Torjuntaohjelmat tunnistavat ja poistavat TeslaCryptin. Tämä ei kuitenkaan vielä pura tiedostojen salausta.
• Jos varmuuskopiot ovat kunnossa, ne voi haittaohjelman poiston jälkeen palauttaa.
• Tiedostojen palauttamista voi yrittää myös Windowsin Shadow Volume -kopioista. TeslaCrypt yrittää poistaa Shadow Volume -kopiot, mutta saattaa joskus epäonnistua siinä.
• TeslaCryptin joidenkin versioiden salauksen voi yrittää purkaa tarkoitusta varten kehitetyillä ilmaisilla purkutyökaluilla. Yksi on saatavilla Ciscolta ja toinen BleepingComputer-yhteisöltä.

Viestintäviraston Kyberturvallisuuskeskus suosittelee, että kiristäjille ei makseta lunnaita. Lunnaiden maksaminen pitää yllä rikollista toimintaa eikä salauksen purkamisesta sittenkään ole takeita.

Tartunnasta kannattaa tehdä myös rikosilmoitus poliisille.

Lisätietoa

• Kiristyshaittaohjelma TeslaCrypt leviää sähköpostitse. Tietoturva nyt! 2.12.2015
• Haittaohjelma tarttuu, vaikka et klikkaisi mitään - osa 1. Tietoturva nyt! 17.9.2015
• Suomessa liikkuu runsaasti CTB-Locker-haittaohjelmaa - Älä avaa epäilyttäviä sähköpostiliitteitä. Tietoturva nyt! 5.2.2015
• TeslaCrypt and Alpha Crypt Ransomware Information Guide and FAQ. BleepingComputer-yhteisön ohjesivu [viitattu 18.12.2015]
• Major TeslaCrypt ransomware offensive underway. Symantec Security Response -blogi 14.12.2015
• Nemucod malware spreads ransomware Teslacrypt around the world. Eset-yhtiön We live security -blogi 16.12.2015
• Security Alert: TeslaCrypt Infections Rise as Spam Campaign Hits Companies in Europe. Heimdal Security -yhtiön tiedote 11.12.2015
• TeslaCrypt 2.0: Cyber Crime Malware Behavior, Capabilities and Communications. iSIGHT Partnersin blogi 16.9.2015

Suomessa yleisesti käytössä olevat julkaisujärjestelmät Wordpress ja Joomla ovat verkkorikollisille houkuttelevia kohteita muun muassa haittaohjelmien levitystarkoitukseen. Julkaisujärjestelmiin kohdistuu jatkuvasti hyökkäyksiä automatisoiduilla työkaluilla. Mikäli verkkorikolliset löytävät haavoittuvan julkaisujärjestelmän, valjastetaan se haitalliseen tarkoitukseen.

Murretulle verkkosivustolle lisätään haitallinen uudelleenohjaus, joka pahimmillaan johtaa sivulla vierailevan käyttäjän laitteen saastumiseen haittaohjelmalla. Erityisesti tietoja salaavat kiristyshaittaohjelmat, kuten Cryptowall ovat rikollisten suosiossa.

Murrettuja sivustoja havaitaan Suomessa useita kymmeniä viikottain. Kyberturvallisuuskeskus ilmoittaa havaitut sivustot palveluntarjoajalle, joka puolestaan välittää ilmoituksen loppuasiakkaalle. Verkkosivun ylläpitäjä puhdistaa sivuston haitallisesta koodista sekä sivuille istutetuista takaovista. Murrettu sivusto altistaa kävijät haittaohjelmille kunnes sivu on puhdistettu.

Tietoturvayhtiö Sucuri julkaisi artikkelin, jossa kuvataan yhtä tapaa levittää haittaohjelmia murretun verkkosivun avulla. Samaa keinoa on käytetty paljon myös Suomessa. Artikkelissa kuvataan murretuille sivustoille lisättyä haitallista ohjelmakoodia sekä tiedostoja, joihin haitallinen koodi lisätään.

Haitallinen ohjaus on Wordpress-alustalla usein lisätty tiedostoon wp-includes/nav-menu.php ja Joomla-alustalla tiedostoon includes/defines.php. Näiden lisäksi verkkorikolliset jättävät takaoven yhteen tai useampaan eri tiedostoon palvelimella.

Mikäli alla olevia merkkijonoja löytyy palvelimen tiedostoista tai palvelimen tarjoamalta verkkosivulta, on sivusto todennäköisesti murrettu:

_PHP_SESSION_PHP
new Date().getTime() + 60*60*24*7*1000 
$cookie_name . '=' . mt_rand(1, 1024) 
var a="'1Aqapkrv' and '00'02)'02' (satunnainen muuttujan nimi)
'<div id="mxcgokabue" style="display:none">ancga---- (satunnainen muuttujan nimi)

Tietomurron ja takaovien tuntomerkkejä voi etsiä palvelimen tiedostoista sekä lokeista seuraavilla tavoilla:

• Erikoisen nimiset tiedostot www-rootissa, public_html-hakemistossa tai näiden alihakemistoissa.
• Tiedostot, joiden aikaleimat poikkeavat muista tiedostoista.
• Tietyt avainsanat tiedostojen sisällössä, jotka voivat viitata obfuskoituun koodiin tai järjestelmäkomentoihin.
• Poikkeava määrä liikennettä sivustolle.
• Poikkeuksellisia merkintöjä palvelinlokissa tai IDS:n lokeissa, esimerkiksi
  • tiedostoja, joita haetaan vain tietyllä User Agentilla tai erikoisilla parametreilla
  • kirjautumisia poikkeuksellisista sijainneista
  • pyyntöjä, joiden osana on tiedostojärjestelmän polku tai komento.

Tässä apua etsintään:

• Etsi takaoviin liittyviä avainsanoja (kuten eval, base64_decode, shell_exec, preg_match) palvelimeltasi esimerkiksi Linuxin grep-työkalulla. Vinkkejä etsintään on muun muassa sivulla Finding Vulnerabilities .
• Etsi tekstipohjaisia tiedostoja, joiden entropia on korkea (yli 5,5) esimerkiksi Linuxin entropy-työkalulla. Korkea entropia www-palvelimen tekstitiedostoissa (.php, .sh, .asp, .py, jne) viittaa obfuskoituun koodiin.
• Huomioi, että osa hyväntahtoisiin tarkoituksiin käytetyistä skripteistä on voitu tarkoituksella tiivistää (ns. minifioida), jolloin niiden entropia on korkea. Tällaiset skriptit on usein nimetty päätteellä .min.js.
• Edellä mainituissa etsinnöissä NeoPI-työkalu (Linux ja Windows). NeoPI on ladattavissa githubista ja sen käytöstä on ohje Infosec Instituten sivuilla.

Yllä olevat vinkit on julkaistu myös aiemmassa Tietoturva nyt! -artikkelissa Takaoven avulla palvelintasi käyttää joku muu.

Julkaisujärjestelmiä tulee ylläpitää ja päivittää aktiivisesti, sillä niistä löydetään jatkuvasti haavoittuvuuksia, joihin julkaistaan korjauksia. Myös julkaisujärjestelmien liitännäiset tulee päivittää ja tarpeettomat liitännäiset sekä teemat poistaa käytöstä.

• https://blog.sucuri.net/2015/12/evolution-of-pseudo-darkleech.html
• https://heimdalsecurity.com/blog/ultimate-guide-angler-exploit-kit-non-technical-people/
•  
• Haittaohjelma tarttuu, vaikka et klikkaisi mitään - osa 1
• Haittaohjelma tarttuu, vaikka et klikkaisi mitään - osa 2
• Takaoven avulla palvelintasi käyttää joku muu

Päivityshistoria

• 16.12.2015 klo 15:47
  Julkaistu

Joomla!-sisällönhallintajärjestelmässä on taas havaittu kriittinen haavoittuvuus, jonka onnistunut hyväksikäyttö mahdollistaa hyökkääjän ohjelmakoodin suorittamisen. Haavoittuvuuden hyväksikäyttöyrityksiä on havaittu.

Suositussa verkkosivustojen ylläpitoon käytetyssä Joomla!-sisällönhallintajärjestelmässä on havaittu haavoittuvuus, jota hyväksikäyttämällä hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan haavoittuvassa järjestelmässä. Haavoittuvuus liittyy puutteelliseen syötteiden tarkastukseen käsiteltäessä HTTP-pyyntöjä. Maailmalla on havaittu haavoittuvuuden hyväksikäyttöyrityksiä.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

Joomla!-versiot 1.5.0 - 3.4.5

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmisto valmistajan ohjeiden mukaan.

Lisätietoa:

•  
• https://developer.joomla.org/security-centre/630-20151214-core-remote-code-execution-vulnerability.html
• https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html
• https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
• https://www.ostraining.com/blog/joomla/hotfixes/
• https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html
•