News kohteet joissa tunniste: "haittaohjelma"

TeslaCrypt-kiristyshaittaohjelmasta löytyneet viat voivat helpottaa tietojen palauttamista

Tunnisteet: tietoturva, haittaohjelma, kyberturvallisuus

Kiintolevyt ja verkkolevyt salaavasta kiristyshaittaohjelma TeslaCryptistä on löytynyt vikoja, jotka voivat mahdollistaa salattujen tiedostojen palauttamisen. Kaikissa tapauksissa salattuja tietoja ei kuitenkaan ole mahdollista palauttaa.

TeslaCrypt-kiristyshaittaohjelmasta löytynyt vikoja

Viime aikoina Euroopan alueella ja myös Suomessa levinneestä TeslaCrypt-kiristyshaittaohjelmasta on löytynyt vikoja, jotka voivat mahdollistaa salattujen tiedostojen purkamisen. TeslaCryptin käyttämä salausmenetelmä itsessään on vahva mutta sen käyttämässä tavassa varastoida salaukseen käytettävät avaimet on löytynyt heikkouksia, jotka voivat mahdollistaa salattujen tietojen palauttamisen.

TeslaCrypt-haittaohjelmasta löytyneet viat voivat mahdollistaa vanhempien TeslaCrypt-versioiden saastuttamien tietojen palauttamisen. Tutkijoiden löytämien vikojen avulla voi olla mahdollista purkaa salaus tiedostoista, joiden tiedostopääte on .ECC, .EZZ, .EXX, .XYZ, .ZZZ,.AAA, .ABC, .CCC, ja .VVV. Uudemmissa TeslaCryptin versioissa tutkijoiden löytämät viat ovat korjattu ja ne tallentavat salatut tiedostot .TTT, .XXX ja .MICRO -tiedostopäätteilä.

Salattuja tiedostoja voi yrittää palauttaa TeslaCrack ja TeslaDecoder -ohjelmilla. Tiedostojen palauttamiseen tarkoitetut sovellukset eivät takaa tiedostojen palauttamisen onnistumista ja siksi onkin syytä ottaa varmuuskopio myös salatusta tiedostosta. TeslaCrack on toteutettu Pythonilla ja sen käyttö tapahtuu komentoriviltä.

Lisätietoja TestaCrypt-haittaohjelmasta ja siihen liittyvistä sähköpostitunnisteista löytyy joulukuussa julkaistusta Tietoturva nyt! -artikkelista.

Älä maksa lunnaita, ota yhteyttä Kyberturvallisuuskeskukseen

Pyydämme olemaan yhteydessä Kyberturvallisuuskeskukseen mahdollisissa tartuntatapauksissa sekä havainnoista.

Mikäli TeslaCrypt on onnistunut salaamaan tiedostot, on suositeltavaa ensisijaisesti pyrkiä palauttamaan tiedostot varmuuskopioista. Toissijaisena vaihtoehtona voi pyrkiä purkamaan tiedostot esim. TeslaCrack tai TeslaDecoder sovelluksilla.

Lunnaiden maksu ei ole suositeltavaa, sillä tämä lisää rikollisten mielenkiintoa levittää tällaisia kirityshaittaohjelmia. Ei ole myöskään mitään takuita siitä, että tiedostot saisi takaisin lunnaiden maksamisen jälkeen. Kyberturvallisuuskeskuksen tiedossa on useita tällaisia tapauksia.

Lisätietoja:

Kiristyshaittaohjelma TeslaCrypt leviää sähköpostitse - Tietoturva nyt! 2.12.2015

http://www.bleepingcomputer.com/news/security/teslacrypt-decrypted-flaw-in-teslacrypt-allows-victims-to-recover-their-files/

TeslaDecoder

TeslaDecoder Support Topic

TeslaCrack

 

Päivityshistoria

  • 27.01.2016 klo 15:51
    Julkaistu
Lue lisää

Ja edelleen: Haittaohjelma lähetetty yli 15000 suomalaiseen sähköpostiosoitteeseen - Kyberturvallisuuskeskus ottaa yhteyttä hyökkäyskampanjan kohteisiin

Tunnisteet: tietoturva, haittaohjelma, kyberturvallisuus

JSocket RAT -haittaohjelman levityskampanja on Keskusrikospoliisin tutkinnassa. Viestien levityksessä on käytetty suomalaisia murrettuja sähköpostitilejä.

Viestintäviraston Kyberturvallisuuskeskuksen ja Keskusrikospoliisin selvitysten perusteella etäohjattava ja tietojen varastamiseen soveltuvaa Jsocket RAT -haittaohjelmaa on levitetty käyttäen suomalaisia murrettuja sähköpostitilejä yli 15000 suomalaiseen sähköpostiosoitteeseen. Haittaohjelma ei ollut ainakaan sen levityshetkellä hyvin tunnistettu yleisimmin käytetyissä virustorjuntaohjelmistoissa. Haittaohjelma pystyy myös estämään virustorjuntaohjelmistojen toiminnan.

Levityskampanja on Keskusrikospoliisin tutkinnassa. Haittaohjelman levityksessä on käytetty suomalaisia murrettuja sähköpostitunnuksia. Tunnusten kautta lähetettyjen haittaohjelmia sisältäneiden viestien vastaanottajat ovat viranomaisten tiedossa. Kyberturvallisuuskeskus lähettää maanantaina 25.1.2016 toimintaohjeita sisältävän sähköpostiviestin kampanjan kohteiksi joutuneisiin sähköpostiosoitteisiin.

Haittaohjelman lähetyksessä käytettyihin murrettuihin sähköpostiosoitteisiin ei ole tarvetta olla yhteydessä. Osoitteiden omistajatahot ovat käynnistäneet osaltaan tarvittavat suojaustoimenpiteet.

 

Kyberturvallisuuskeskuksen lähettämän sähköpostin sisältämät toimintaohjeet:

Otsikko: Viestintäviraston varoitus haitallisesta sähköpostista
Hei!

Viestintäviraston Kyberturvallisuuskeskuksen tietoon on tullut,
että te olette saattaneet vastaanottaa haittaohjelman
sisältävän sähköpostin. 

Viesti on osa laajaa haittaohjelman levityskampanjaa, jossa
kohteena on ollut noin 15000 suomalaista käyttäjää. 
Keskusrikospoliisi tutkii tapausta. 
Teille mahdollisesti saapuneen sähköpostin otsikko on <<OTSIKKO>> 
ja se on lähetetty <<PÄIVÄMÄÄRÄ>>. Viestiä ei tule yrittää avata.

Toimintaohje: ************* -Jos ette löydä sähköpostilaatikosta yllämainittua viestiä, 
virustorjunta on todennäköisesti estänyt viestin toimituksen teille. Asia ei vaadi teiltä
jatkotoimenpiteitä. 
-Jos ette ole avanneet viestiä, tuhotkaa viesti sitä avaamatta. Tässä tapauksessa 
yhteydenottoa poliisiin ei tarvita. 
-Jos olette avanneet viestin sisältäneen liitetiedoston, ottakaa yhteyttä 
Keskusrikospoliisiin alla olevien ohjeiden mukaisesti. 
 

JSocket RAT -haittaohjelmaa levitetään sähköpostitse - Tietoturva nyt! -artikkeli 21.1.2016

Laitteen etähallinnan mahdollistava haittaohjelma JSocket RAT leviää sähköpostin välityksellä - Tietoturva nyt! -artikkeli 19.1.2016

Päivityshistoria

  • 25.01.2016 klo 11:08
    Julkaistu
Lue lisää

JSocket RAT -haittaohjelmaa levitetään sähköpostitse

Tunnisteet: tietoturva, haittaohjelma, tietomurto, roskaposti, bottiverkko

Etähallittavaa JSocket RAT -haittaohjelmaa on levitetty ainakin 15 000 suomalaiseen sähköpostiosoitteeseen. Haittaohjelman sisältävä viesti voi tulla tutulta ihmiseltä, sillä levitykseen käytetään ilmeisesti murrettuja käyttäjätunnuksia ja niiden yhteystietolistoja.

Kyberturvallisuuskeskuksen näkemät viestiesimerkit ovat lyhyitä ja kömpelöllä suomella kirjoitettuja. Viestin lyhyyden vuoksi se voi näyttää uskottavalta ihmiselle, joka lukee sen kiireessä. Alla on kuva eräästä levitykseen käytetystä viestistä:

Sähköpostiviesti.

 

Myös seuraavia viestien otsikoita on nähty:

  • Laskuttaa_00995647 ( Maksu)
  • VS: Laskuttaa_00995647 ( Maksu)
  • SV: Laskuttaa_00995647
  • VS: Laskuttaa_00995647
  • Dokumentti
  • Laskuttaa_094895
  • Faktura_0099787 {Betaling)
  • Fakturra_0099787 (pagameto)
  • Fattura_0099787 (pagamento)

Suositellut toimenpiteet

  1. Jos olet saanut kuvatunlaisen viestin, muttet ole avannut sitä, poista viesti pysyvästi. Esimerkiksi Microsoft Outlookissa valitse viesti postilaatikosta yhdellä klikkauksella, paina näppäimistöstä vaihto (shift) -näppäin pohjaan ja paina Delete-näppäintä.
  2. Jos olet avannut kuvatunlaisen viestin, varmista, ettei koneesi ole saanut tartuntaa:
    • Ota tietokone heti irti tietoverkosta haittaohjelman mahdollisen leviämisen estämiseksi.
    • Jos saastunut kone on työnantajasi antama, toimi työnantajan ohjeiden mukaan (esimerkiksi yhteydenotto ATK-tukeen).
    • Jos kyse on yksityisestä koneesta, tarkasta se päivitetyllä haittaohjelmien torjuntaohjelmalla.

JSocket RAT kytkee monia virustorjuntaohjelmistoja pois käytöstä, joten voi olla tarpeen asentaa toisella koneella USB-muistitikulle ohjelma, jolta saastuneen tietokoneen voi käynnistää haittaohjelmien tarkastusta varten (ns. anti-virus boot disk tai rescue disk).

Tartuntojen ehkäisy

Noudata varovaisuutta epäilyttäviltä näyttävien sähköpostiviestien käsittelyssä. Epäilyttävien viestien liitetiedostoja ei kannata avata. Paras tapa varmistua viestin aitoudesta on ottaa sen lähettäjään yhteyttä jollakin muulla viestivälineellä kuin sähköpostilla.

Varmista, että virustorjuntaohjelmisto toimii. Torjuntaohjelman tunnistetietokannan automaattipäivityksen tulee olla päällä ja torjuntaohjelman tulee automaattisesti tarkastaa avattavat ja suoritettavat tiedostot. Useilla työpaikoilla ATK-tuki varmistaa nämä asiat keskitetysti.

Työpaikan sähköpostijärjestelmän ylläpitäjien kannattaa ohjata kaikki sähköpostipalvelimen läpi kulkevat viestit virustorjuntaohjelmiston läpi. Varotoimena sellaiset viestit, jotka sisältävät Zip-pakatun liitetiedoston, jonka sisältönä on jar-tiedosto, kannattaa laittaa karanteeniin ja tarkastaa tuoreita haittaohjelmatunnisteita vastaan vielä seuraavana päivänä. Jos yrityksen työntekijöillä ei ole tarvetta vastaanottaa jar-tiedostoja, kannattaa niiden vastaanotto sähköpostilla estää kokonaan.

Lisää aiheesta

Laitteen etähallinnan mahdollistava haittaohjelma JSocket RAT leviää sähköpostin välityksellä (Tietoturva nyt! 19.1.2016)

Päivityshistoria

  • 21.01.2016 klo 16:37
    Julkaistu
Lue lisää
.