News kohteet joissa tunniste: "haittaohjelma"

Haittakoodia CCleaner asennuspaketissa

Tunnisteet: tietoturva, haittaohjelma, haavoittuvuudet

Suositun CCleaner-ohjelmiston asennuspaketin versio 5.33 asentaa tietokoneelle CCleanerin lisäksi haittaohjelman. Paketti on ollut jakelussa ainakin 15.8.-11.9. välisenä aikana.

CCleaner on suosittu ilmainen väliaikaistiedostojen ja rekisterien siivoukseen käytettävä sovellus. Sen asennuspakettia on muokattu niin, että sen mukana tietokoneelle asentuu haittaohjelma. Tarkempia tietoja murron tekijästä ei ole vielä tiedosta.

Haavoittuvuus koskee sinua vain jos olet asentanut CCleaner-ohjelmistosta 32-bittisen version 5.33. Muut versiot sekä 64-bittinen versio on turvallinen.

Myös ohjelman pilviversio (1.07.3191) on haavoittuva ja se on valmistajan mukaan päivitetty uudempaan automaattisesti.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Paikallisesti

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

  • CCleaner 5.33.6162
  • CCleaner Cloud 1.07.3191

Ratkaisu- ja rajoitusmahdollisuudet:

Koska kyseessä ei ole haavoittuvuus CCleanerissa vaan sen mukana tullut haittaohjelma, toimintaohjeet ovat samat kuin missä tahansa haittaohjelmatartunnassa. Sen lisäksi CCleaner tulee päivittää uusimpaan versioon.

Lisätietoa:

Päivityshistoria

  • 19.09.2017 klo 10:27
    Julkaistu
Lue lisää

Locky -kiristyshaittaohjelmaa levitetään haitallisten sähköpostien välityksellä

Tunnisteet: tietoturva, haittaohjelma

Kiristyshaittaohjelmarintaman uusin tulokas on "Locky" -niminen tiedostot salaava kiristyshaittaohjelma. Haittaohjelmaa on levitetty ainakin laskuiksi naamioitujen haitallisten sähköpostiviestien avulla. Havaintoja haitallisista viesteistä on tehty myös Suomessa. Epäilyttäviin sähköpostiviesteihin on hyvä suhtautua varauksella ja niiden sisältämiä liitetiedostoja ei pidä avata.

Levitys ja toiminta

Locky -kiristyshaittaohjelmaa on levitetty pääasiallisesti sähköpostin liitteenä olevien Word-tiedostojen välityksellä. Tiedosto on vuorattu makroviruksella, joka avaamisen yhteydessä lataa ja käynnistää varsinaisen haittaohjelman käyttäjän huomaamatta.

Locky -kiristyshaittaohjelma on suunnattu Windows -tietokoneille ja se salaa tietokoneelta ja verkkojaoista löytämänsä tiedostot ja vaatii sen jälkeen lunnaita niiden avaamiseksi. Tällä hetkellä tiedossa ei ole tunnettuja keinoja purkaa Locky:n salaamia tiedostoja.

 

Suojautuminen

Ennalta varautuminen on paras keino suojautua kiristyshaittaohjelmilta. Epäilyttäviin sähköpostiviesteihin ja niiden sisältämiin liitetiedostoihin kannattaa suhtautua varauksella. Liitetiedostojen klikkaaminen miettimättä tarkemmin voi johtaa tilanteeseen, jossa organisaation toimintakyky heikkenee tai jopa keskeytyy hetkeksi, kun tärkeät tiedostot ovatkin yhtäkkiä salattu.

Organisaatioiden ylläpidossa kannattaa harkita Office-tiedostojen makrojen oletusarvoisen suorittamisen estämistä ja ohjeistaa käyttäjiä olemaan tarkkana sähköpostilla saapuvien makroja sisältävien Office-tiedostojen käsittelyssä.

Suunnitelmallinen varmuuskopioiden ottaminen on erittäin tärkeää ja toimivat prosessit tiedostojen palauttamiseksi auttavat toipumisessa ja pienentävät omalta osalta kiristyshaittaohjelmien aiheuttamaa uhkaa.

 

Lisätietoja / Tunnistetietoja

Esimerkki:

Otsikko on muotoa: ATTN: Invoice_J-<8-numeroa>, esim. alla
Otsikko: ATTN: Invoice J-11256978
Liite: invoice_J-11256978.doc

 

Esimerkki 2:

Lähettäjä: info@mpsmobile.de
Otsikko: Rechnung 2016-11365
Liite: 19875_Rechnung_2016-11365_20160215.docm

 

Tartunnan saaneen koneen taustakuva:

 

 

Salaa seuraavilla päätteillä olevat tiedostot:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, 
.qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz,
.rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff,
.NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm,
.pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB,
.SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam,
.docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps,
.sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm,
.xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml,
.txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt,
.key, wallet.dat

 

Mikäli tiedoston nimessä tai hakemistopolussa löytyy seuraava merkkijono, ei tiedostoja salata:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, 
thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

 

Komentopalvelimia / lataamiseen käytettyjä osoitteita:

109.234.38.35
173.214.183.81
193.124.181.169
195.154.241.208
195.64.154.14
46.4.239.76
66.133.129.5
86.104.134.144
91.195.12.185
iynus.net
www.iglobali.com
www.jesusdenazaret.com.ve
www.southlife.church
www.villaggio.airwave.at
luvenxj.uk
 

Komentopalvelinliikenne on esimerkiksi "domain/main.php" -osoitteeseen suuntautuva HTTP POST, johon komentopalvelin vastaa. Itse liikenne on salattua.

 
Aihetta käsitteleviä artikkeleita:

Päivityshistoria

  • 17.02.2016 klo 16:19
    Julkaistu
Lue lisää

Tietoja varastavaa Dridex-haittaohjelmaa levitetään yhä Suomeen sähköpostin välityksellä

Tunnisteet: tietoturva, haittaohjelma, kyberturvallisuus

Dridex-haittaohjelmaa levitetään edelleen sähköpostin liitetiedostoissa. Myös suomalaisia kohteita havaittiin runsaasti jo viime vuoden aikana. Dridex pyrkii varastamaan erityisesti rahaliikenteeseen liittyviä tietoja. Epäilyttäviä liitteitä tuntemattomista tai väärennetyiltä vaikuttavista lähteistä ei pidä avata.

Dridex-troijalasta levitetään Office-tiedostojen avulla, joita lähetetään sähköpostin liitetiedostona. Maailmalla paljon levitetty haittaohjelma on Viestintäviraston Kyberturvallisuuskeskuksen havaintojen mukaan yleistynyt myös Suomessa.

Haittaohjelman levitykseen käytetyt liitetiedostot ovat yleisimmin Office-tiedostoja (Word tai Excel). Office-liitteet käynnistävät avattaessa makrokoodin, joka lataa ja suorittaa varsinaisen haittaohjelman käyttäjän huomaamatta. Officen asetuksissa on syytä estää makrojen suorittaminen verkosta ladatuilta tiedostoilta.

Dridex-haittaohjelma on erityisen kiinnostunut rahaliikenteeseen liittyvien tietojen, kuten luottokorttinumeroiden varastamisesta. Haittaohjelma sisältää myös muita uhrin vakoilemiseen ja tietojen varastamiseen soveltuvia ominaisuuksia sekä se pystyy lataamaan uhrin koneelle muita haittaohjelmia. Haittaohjelma voi muodostaa merkittävän uhan kotikäyttäjien lisäksi myös yrityksille.

Mistä troijalaisen tunnistaa?

Haitallisen liitetiedoston sisältävän sähköpostin lähettäjäksi voi olla merkitty joku omasta organisaatiosta. Sähköposti voi väittää liitettä laskuksi tai muuksi tositteeksi.

Viime viikkoina Suomessa on havaittu useita kopiokoneen tai skannerin lähettämäksi tekaistuja haittaposteja, joiden lähettäjänimenä on "copier@[organisaatio].fi" tai "KONICA_MINOLTA@[organisaatio].fi". Se ei silti tarkoita, että organisaatiosi kopiokone tai tietokone olisi viruksen saastuttamia, vaan viesti on voitu lähettää mistä vain väärennetyllä nimellä.

Liitteitä avatessa kannattaa olla tarkkana, sillä troijalaisetkin voivat olla nimettyjä uskottavasti. Liitteen nimenä voi olla esimerkiksi "SKM_[numerosarja].doc", "contract.doc", "statement.doc", tai jopa vastaanottajan nimelle räätälöity "etunimi_sukunimi_statement.doc". Liitteitä ei pidä avata.

Useimmat tietoturvaohjelmistot tunnistavat haitalliset Office-tiedostot.

Estä makrojen tarpeeton suorittaminen

Tietojärjestelmien ylläpito voi suojata organisaatiota makrojen avulla levitettäviltä haittaohjelmilta muun muassa seuraavien ohjeiden avulla:

  • Estä asiakirjojen makrojen oletusarvoinen suorittaminen.
  • Ohjeista käyttäjiä varovaisuuteen sähköpostilla saapuvien makroja sisältävien Office-tiedostojen käsittelyssä.
  • Jos tarvitset makroja esimerkiksi asiakirjapohjissa organisaatiosi sisällä, salli vain tietyissä tiedostoissa tai tietyn hakemiston tiedostoissa olevat makrot ja estä muut.
  • Muista säännöllinen varmuuskopiointi siltä varalta, että saat haittaohjelmatartunnan.

Myös jokaisen tietokoneenkäyttäjän tulee olla valppaana:

  • Älä avaa sähköpostilla saamiasi tiedostoja harkitsematta. Mieti, miten voit varmistua viestin aitoudesta ennen viestin avaamista. Sähköposti on helppo väärentää näyttämään organisaation sisäiseltä postilta.
  • Älä tee itsestäsi isoa ja näkyvää maalia. Mieti, ennen kuin annat yhteystietojasi, kuten sähköpostiosoitettasi, verkkosivuille. Luotatko, että sivuston haltija säilyttää ja käyttää tietojasi oikein?

Miten haittaohjelmasta pääsee eroon?

Jos haittaohjelma kuitenkin pääsee tarttumaan varotoimenpiteistä huolimatta, Viestintäviraston Kyberturvallisuuskeskuksen teema-artikkeli "Älä panikoi, näin pääset eroon haittaohjelmasta" neuvoo toimenpiteistä.

 

 

Lisätietoja:

Dridex-pankkitroijalainen leviää sähköpostin välityksellä - Tietoturva nyt! 4.11.2015

[Teema] Älä panikoi, näin pääset eroon haittaohjelmasta- Tietoturva nyt! 13.10.2014

Makroja hyödynnetään taas onnistuneesti haittaohjelmien levittämisessä - Tietoturva nyt! 18.5.2015

Dridex Botnet Resumes Spam Operations After the Holidays - FireEye 29.1.2016

Päivityshistoria

  • 03.02.2016 klo 15:14
    Julkaistu
Lue lisää
.