News kohteet joissa tunniste: "haittaohjelma"

Laitteen etähallinnan mahdollistava haittaohjelma JSocket RAT leviää sähköpostin välityksellä

Tunnisteet: tietoturva, haittaohjelma, kyberturvallisuus

Kyberturvallisuuskeskuksen saamien tietojen perusteella Suomessa on viime aikoina havaittu JSocket RAT -haittaohjelmatartuntoja. JSocket RAT-haittaohjelmaa on levitetty sähköpostin liitetiedostojen avulla. Usein yhdistävänä tekijänä haitallisissa sähköpostiviesteissä on ollut niiden liittyminen taloudellisiin asioihin (laskut, tilaukset). JSocket RAT-haittaohjelma antaa saastuneen laitteen täydet hallintaoikeudet hyökkääjälle.

JSocket RAT on niin sanottu Remote Access Tool (RAT), joka pystyy saastuttamaan useita käytetyimpiä käyttöjärjestelmiä sekä Android-laitteita. Haittaohjelma antaa hyökkääjälle saastuneen laitteen täyden hallinnan. Hyökkääjä saa esimerkiksi pääsyn laitteelle tallennettuihin tiedostoihin sekä saa hallintaansa laitteen kameran, GPS-paikkatiedon ja mikrofonin.

JSocket RAT on kaupallistettu haittaohjelma eli sitä hyökkäyksissä käyttävät tahot ovat ostaneet kyseisen haittaohjelman. Haittaohjelman levittäjät voivat itse tämän jälkeen mukauttaa haittaohjelmaa esimerkiksi vaihtamalla sen nimeä, levitystapaa ja käytettävää sähköpostikampanjaa. Tästä syystä JSocket RAT -haittaohjelman tunnistetiedot saattavat vaihtua usein. Eri tietoturvatuotteissa haittaohjelma saattaa tunnistua mm. nimellä Adwind.P., AlienSpy, Frutas tai Unrecom. Kyberturvallisuuskeskuksen tiedossa on myös versioita, jotka eivät ole tunnistuneet virustorjuntaohjelmistoissa.

JSocket RAT-haittaohjelmaa on levitetty pääosin sähköpostin liitetiedostojen välityksellä. Useimmiten haittaohjelman levityksessä käytettävät viestit ovat liittyneet usein laskutus- tai maksuaiheisiin, kuten esimerkiksi laskuihin ja tilauksiin. Saapuneet liitetiedostot ovat tyypiltään .jar -tiedostoja mutta tiedostopääte on voitu pyrkiä piilottamaan tai liitetiedosto on voitu pakata zip-tiedostoon. Älypuhelimiin JSocket RAT-haittaohjelma voi myös tarttua virallisten sovelluskauppojen ulkopuolelta asennettujen sovellusten kautta.

 

Ohjeita loppukäyttäjille:

  • Suhtaudu varauksella tuntemattomilta lähettäjiltä tuleviin sähköpostiviesteihin.
  • Älä klikkaa viestien epäilyttäviä liitteitä tai linkkejä auki
  • Älä asenna mobiililaitteisiin sovelluksia virallisten sovelluskauppojen ulkopuolelta

 

Ohjeita tietohallinnolle ja ylläpitäjille:

  • Ohjeista käyttäjiä sähköpostin liitetiedostojen avaamiseen liittyvistä riskeistä.
  • Salli sovellusten asentamisen mobiililaitteisiin vain virallisista sovelluskaupoista.
  • Varmista, että organisaatioon sisään tuleva sähköpostiliikenne analysoidaan haittaohjelmien varalta.
  • Varmista, että työasemien paikalliset virustorjuntaohjelmistot ovat toiminnassa ja päivitetty viimeisimmillä haittaohjelmatunnisteilla.

 

Epäilyttävistä haittaohjelmaviesteistä kannattaa ilmoittaa Viestintäviraston Kyberturvallisuuskeskukselle ja lähettää mahdollisuuksien mukaan näyte salasanasuojatussa zip-tiedostossa osoitteeseen cert(at)ficora.fi. Jos haittaohjelmatartunta on ehtinyt tapahtua, irrota kone verkosta, mutta älä sammuta konetta. Kyberturvallisuuskeskus suosittelee tekemään rikosilmoituksen mahdollisista tartunnoista.

Päivityshistoria

  • 19.01.2016 klo 15:43
    Julkaistu
Lue lisää

Kiristyshaittaohjelma TeslaCrypt on tarttunut useisiin tietokoneisiin

Tunnisteet: tietoturva, haittaohjelma, huijaus, roskaposti, salaus

Joulukuun aikana TeslaCrypt-tartunnat ovat lisääntyneet huomattavasti. Kyseessä on tietokoneen tiedostot salaava kiristyshaittaohjelma. Kaikkia Windows-tietokoneiden käyttäjiä kehotetaan varovaisuuteen ja tarkkaavaisuuteen sähköpostin liitetiedostojen ja webbilinkkien käsittelyssä. Omat tiedostot kannattaa varmuuskopioida ja huolehtia, että haittaohjelmien torjuntaohjelma on kunnossa.

TeslaCryptin aiheuttama uhka

Kiristyshaittaohjelma TeslaCrypt toimii PC-tietokoneiden Microsoft Windows -käyttöjärjestelmissä ja salaa tietokoneen tiedostojen sisällön käyttäen vahvaa AES-salakirjoitusmenetelmää.

Se voi salata tiedostoja myös tietokoneeseen liitetyillä verkkolevyillä, ulkoisilla kiintolevyillä ja jopa kiintolevyasemaksi liitetyillä DropBox-tileillä, jos käyttäjällä on niihin kirjoitusoikeus. Se poistaa kiintolevyltä tiedostojen Shadow Volume -kopiot, jotta tiedostojen palauttaminen olisi vaikeaa.

Haittaohjelma esittää uhrille lunnasvaatimuksen, jonka mukaan lunnaat maksamalla salaus puretaan.

TeslaCrypt käyttää symmetristä salausta eli salauksen purku tapahtuu samalla avaimella kuin salakirjoituskin. Jotkin keväältä 2015 peräisin olevat TeslaCryptin versiot käsittelevät salausavainta siten, että kiristyksen uhrin on mahdollista saada avain käsiinsä maksamatta lunnaita. Tuoreemmissa versioissa tätä heikkoutta ei kuitenkaan ole; haittaohjelma siirtää salausavaimen kiristäjille ennen kuin uhri huomaa tilanteen vakavuuden.

Kyberturvallisuuskeskus on seurannut TeslaCrypt-tilannetta aktiivisesti ja tiedottanut joulukuun alussa haittaohjelman aktiivisesta levittämisestä.

Joulukuun aikana Kyberturvallisuuskeskus on saanut kotimaisista tartunnoista useita ilmoituksia päivässä, ja niiden määrä lisääntyy yhä. On silti epätodennäköistä, että kaikki tartunnat olisivat tulleet Kyberturvallisuuskeskuksen tietoon.

Varoituksen kohderyhmä

  • Windows-tietokoneiden käyttäjät ja ylläpitäjät
  • Organisaatioiden tietohallinnosta ja tietoturvasta huolehtivat henkilöt

Ratkaisu- ja rajoitusmahdollisuudet

Tartunnan ehkäisy ja varautuminen

Tärkeintä on tietokoneiden käyttäjien valveutuneisuus. TeslaCryptiä levitetään monien muiden haittaohjelmien tavoin sähköpostin liitetiedostoina ja murrettujen verkkosivujen kautta, joille on istutettu haittaohjelmien jakelualusta. Odottamatta tulevia ja epäilyttävän näköisiä sähköpostiviestejä ei tule avata tai klikata linkkejä epäilyttävissä sähköposti- tai sosiaalisen median viesteistä.

Kyberturvallisuuskeskus painottaa ennaltaehkäisyn tärkeyttä. Tiedostojen varmuuskopiointi aktiivisesti ja säännöllisesti on tärkeää.

Haittaohjelmien torjunta kannattaa pitää ajan tasalla. Torjuntaohjelmat tunnistavat ja poistavat TeslaCryptin varsin hyvin, kunhan tunnistekanta on päivitetty ja normaalit torjuntaominaisuudet päällä.

Tietokoneen käyttöjärjestelmä ja sovellukset kannattaa pitää päivitettyinä. Verkkosivuilla olevat haittaohjelmien jakelualustat käyttävät hyväkseen uhrin tietokoneessa olevien ohjelmien haavoittuvuuksia. Jos tunnetut haavoittuvuudet on paikattu asentamalla ohjelmien tuoreimmat versiot, tartunnat ovat epätodennäköisempiä.

Sähköpostijärjestelmien ja lähiverkkojen ylläpitäjät voivat suodattaa epäilyttäviä liitetiedostoja haittaohjelmien torjuntaohjelmilla, tunkeutumisen torjuntajärjestelmillä (IPS) ja asettamalla epäilyttävät liitetiedostot karanteeniin.

Alla on sähköpostin tunnistetietoja, joista voi tunnistaa TeslaCryptin levittämisen.

  •  

Sähköpostiviestien otsikoita:

  • Unpaid Invoice from Staples Inc., Ref. numerosarja
  • Your account has a debt and is past due
  • Agri Basics invoice #8 numeroa and 7 numeroa
  • Reference Number #8 numeroa, Last Payment Notice
  • viestin lähetysajanhetken aikaleima muotoa "11/29/2015 4:30:09 pm"
  • invoice from passion beauty supply ltd
  • your ticket order #10 numeroa approved
  • new payment for tax refund #8 numeroa
  • november invoice #8 numeroa

Erilaisia otsikoita tulee koko ajan lisää.

Sähköpostin liitetiedostojen nimiä:

  • scan_invoice_8 numeroa.zip
  • invoice_8 numeroa_copy.doc
  • invoice_8 numeroa_copy_.zip
  • invoice_8 numeroa.zip
  • tax_refund_8 numeroa.zip
  • "love.zip" jonka sisällä on tiedosto nimeltä "info.js"
  • "img.zip" jonka sisällä on tiedosto nimeltä "img.js"
  • doc.zip
  • live.zip
  • statement.zip
  • part1.zip
  • etunimi_resume_neljä numeroa.zip
  • task10 numeroa.zip
  • 10 numeroa.zip

Liitetiedostojen nimi voi olla muukin. zip-tiedostojen sisällä on aina haitallinen .js-tiedosto.

Alla on tuore kuva sähköpostiviestistä, jolla on levitetty TeslaCryptiä.

Tunnistetiedoista kerrotaan lisää myös varoituksen lopussa.

Toipuminen tartunnan tapahduttua

Tartunnasta on joitakin mahdollisuuksia toipua. Toipuminen vaatii kuitenkin aina huomattavaa vaivannäköä.

  • Jos osaaminen ja aika riittävät, kannattaa saastunut tietokone sulkea välittömästi ja ottaa salattujen kiintolevyjen sisällöstä puhtaalla tietokoneella täydet levykopiot. Näin salausprosessin saa pysähtymään siltä varalta, että kaikkia tiedostoja ei ole vielä salattu, ja kopioihin voi rauhassa kokeilla jo olemassa olevia tai tulevaisuudessa kehitettäviä purkumenetelmiä.
  • Saastuneella tietokoneella kannattaa ajaa ajantasainen haittaohjelmien torjuntaohjelma. Torjuntaohjelmat tunnistavat ja poistavat TeslaCryptin. Tämä ei kuitenkaan vielä pura tiedostojen salausta.
  • Jos varmuuskopiot ovat kunnossa, ne voi haittaohjelman poiston jälkeen palauttaa.
  • Tiedostojen palauttamista voi yrittää myös Windowsin Shadow Volume -kopioista. TeslaCrypt yrittää poistaa Shadow Volume -kopiot, mutta saattaa joskus epäonnistua siinä.
  • TeslaCryptin joidenkin versioiden salauksen voi yrittää purkaa tarkoitusta varten kehitetyillä ilmaisilla purkutyökaluilla. Yksi on saatavilla Ciscolta ja toinen BleepingComputer-yhteisöltä.

Viestintäviraston Kyberturvallisuuskeskus suosittelee, että kiristäjille ei makseta lunnaita. Lunnaiden maksaminen pitää yllä rikollista toimintaa eikä salauksen purkamisesta sittenkään ole takeita.

Tartunnasta kannattaa tehdä myös rikosilmoitus poliisille.

Lisätietoa

Päivityshistoria

  • 18.12.2015 klo 12:02
    Julkaistu
Lue lisää

Kiristyshaittaohjelma TeslaCrypt leviää sähköpostitse

Tunnisteet: tietoturva, haittaohjelma, kyberturvallisuus

Kiintolevyt ja verkkolevyt salaava edistynyt kiristyshaittaohjelma TeslaCrypt leviää haitallisten sähköpostiliitteiden välityksellä. Viime aikoina TeslaCryptiä on tavattu paljon myös Suomessa.

Tiedot salaava kiristyshaittaohjelma uhkaa myös Suomessa

Viime päivinä Euroopan alueella, myös Suomessa, on havaittu kehittyneen TeslaCrypt-kiristyshaittaohjelman levittämistä haitallisten sähköpostiliitteiden välityksellä. Mikäli käyttäjä avaa liitteenä zip-tiedoston sisällä olevan .js-tiedoston, käyttäjän koneelle latautuu TeslaCrypt-haittaohjelma murrettujen verkkosivujen kautta.

TeslaCrypt käyttää vahvaa salausmenetelmää, eikä salausta ole mahdollista purkaa ilman salaukseen käytettyä avainta. Rikolliset vaativat lunnaita avaimen sisältävän palautustyökalun luovuttamiseksi.

Tarkista, suodata ja varmuuskopioi

Kyberturvallisuuskeskus suosittelee seuraavia toimenpiteitä kiristyshaittaohjelmilta suojautumiseksi:

  1. Tarkista huolellisesti saamasi sähköpostiviestit, ennen kuin avaat niiden liitteitä. TeslaCrypt-kiristyshaittaohjelmia levittäneissä viesteissä on havaittuja tunnusmerkkejä on lueteltu tämän artikkelin loppupuolella.
    •  
    •  
  2. Mikäli mahdollista, tarkasta sähköpostijärjestelmästänne onko näihin tunnistetietoihin viittaavia viestejä lähetetty organisaationne sähköpostiosoitteisiin.
  3. Mikäli mahdollista, suodata tai ohjaa karanteeniin sähköpostijärjestelmästänne tunnistetietoja vastaavat sähköpostit.
    • Sähköpostisuodattimissa ja sähköpostien haittaohjelmaskannereissa on havaittu hankaluuksia tunnistaa tiedostot haitallisiksi .js-tiedoston obfuskoinnista johtuen.
    • Varotoimenpiteenä voi ohjata karanteeniin sähköpostiviestit, joissa liitteenä on .js-tiedoston sisältävä .zip-tiedosto.
  4. Varmuuskopioi tiedostosi säännöllisesti ja säilytä ne erillään tietokoneesta. Tarkista varmuuskopion palautuksen toimivuus.
 

Älä maksa lunnaita, ota yhteyttä Kyberturvallisuuskeskukseen

Pyydämme olemaan yhteydessä Kyberturvallisuuskeskukseen mahdollisissa tartuntatapauksissa sekä havainnoista.

Mikäli TeslaCrypt on onnistunut salaamaan tiedostot, on suositeltavaa palauttaa tiedostot mahdollisuuksien mukaan varmuuskopioista. TeslaCryptin versiosta riippuen tästä salaukseen käytetystä avaimesta saattaa jäädä kopio myös Windows-käyttöjärjestelmän sisälle. Tällöin tiedostojen palauttaminen saattaa olla mahdollista ilman lunnaiden maksua. Tämä vaatii avaimen löytämistä sekä erityistyökalun käyttöä.

Lunnaiden maksu ei ole suositeltavaa, sillä tämä lisää rikollisten mielenkiintoa levittää tällaisia kirityshaittaohjelmia. Ei ole myöskään mitään takuita siitä, että tiedostot saisi takaisin lunnaiden maksamisen jälkeen. Kyberturvallisuuskeskuksen tiedossa on useita tällaisia tapauksia.

Näin tunnistat TeslaCrypt-haittaviestit

Toistaiseksi havaituissa TeslaCryptiä levittäneissä sähköposteissa on havaittu seuraavanlaisia tunnistetietoja:
 
Liitetiedostot:
  • Liitetiedosto nimeltä "love.zip" jonka sisällä on tiedosto nimeltä "info.js"
  • Liitetiedosto "img.zip" jonka sisällä on tiedosto nimeltä "img.js"
  • Liitetiedosto nimeltä "live.zip" tai "statement.zip"
  • Liitetiedosto nimeltä "part1.zip"
  • Liitetiedoston nimi on muotoa "*etunimi*_resume_*neljä numeroa*.zip" (esim. "maribeth_resume_7996.zip")
  • Liitetiedoston nimi on muotoa "task*10 numeroa*.zip" (esim. "task0000261520.zip")
  • Liitetiedoston nimi on muotoa
    "invoice_*8 numeroa
    *_copy_.zip" (esim. "invoice_85773314_copy_.zip")
  • Liitetiedostojen nimi voi olla muukin ja niiden sisällä on aina haitallinen .js-tiedosto.
Viestin otsikko
  • Viestin otsikkona (Subject) on viestin lähetysajanhetken aikaleima muotoa "11/29/2015 4:30:09 pm"
  • Viestin otsikkona on "
    invoice from passion beauty supply ltd"
  • Viestin otsikkona on "your ticket order #*10 numeroa* approved" esim. "your ticket order #0000889687 approved"
 
 
Pyydämme olemaan havainnoista yhteydessä Kyberturvallisuuskeskukseen erityisesti, jos viesteissä esiintyy uudenlaisia tiedostonimiä tai otsikkoja.
 

Päivityshistoria

  • 02.12.2015 klo 12:07
    Julkaistu
  • 02.12.2015 klo 13:09
    Korjattu tunnistetietoja
  • 02.12.2015 klo 19:48
    Korjattu kuvausta TeslaCryptin käyttämästä salausmenetelmästä
  • 03.12.2015 klo 09:36
    Lisätty tunnistetietoja
  • 04.12.2015 klo 09:07
    Lisätty haitallisten viestien tunnistetietoja
Lue lisää
.