Viestintäviraston Kyberturvallisuuskeskuksen tietoon on tullut useita kiristyshaittaohjelma CTB-Lockerin tartuntatapauksia Suomesta. Pahimmillaan myös jaettujen verkkolevyjen tiedostot on salattu. Kyberturvallisuuskeskus muistuttaa ajantaisista varmuuskopioista, neuvoo tarkistamaan levyjakojen kirjoitusoikeudet ja kehottaa välttämään epämääräisten viestien availua. Lunnaiden maksaminen ei takaa tiedostojen avaamista.

Kyberturvallisuuskeskukselle on viime päivinä tullut useita ilmoituksia kiristyshaittaohjelma CTB-Lockerin tartuntatapauksista Suomessa. Edellisen kerran Kyberturvallisuuskeskus tiedotti haittaohjelmasta 21.1.2014 Tietoturva nyt! -artikkelilla, kun siitä tehtiin Suomessa ensihavaintoja.

Haittaohjelmakampanja jatkuu yhä kiihtyvällä tahdilla. Kyberturvallisuuskeskuksen tietojen mukaan ajantasainenkaan tietoturvaohjelmisto ei kaikissa tapauksissa riitä suojaamaan haittaohjelma tartunnalta.

Esimerkki sähköpostiviestistä

Esimerkki tuoreesta CTB-Lockeria levittäneestä sähköpostiviestistä:

-----------

Aihe: Fax2mail M12ME6F5C4541

Liite: sanofi_pasteur_msd_ltd201.zip

No.: +07844100414

Date: 2015.01.18 14:39:10 CST

Pages: 7

Reference number: M12ME6F5C4541

Filename: sanofi_pasteur_msd_ltd201.zip

- --

Sanofi Pasteur MSD Ltd

Glinda Hormell

- -----------

Haittaohjelman levitys ja tartunta

Kiristyshaittaohjelmaa on levitetty useilla eri sisältöisillä sähköpostiviesteillä. Yksi tyypillinen viestin aihe on ollut ilmoitus saapuneesta faxista, josta esimerkki edellä. Eräässä tapauksessa liitetiedoston nimi muodostui vastaanottajan sähköpostiosoitteesta.

Itse haittaohjelmaa on tyypillisesti levitetty sähköpostiviestin liitteenä olevan pakatun zip-päätteisen tiedoston sisällä. Varsinainen haittaohjelma on usein ollut scr-päätteinen, joka avautuu Word- tai Wordpad-ohjelmalla. Näitä viestejä on viime päivinä havaittu sadoittain suomalaisissa organisaatioissa. Myös muita tiedostopäätteitä on tunnistettu haittaohjelman levityksessä. Koska liitetiedostojen nimet, lähettäjän osoite ja viestin sisältö vaihtelevat suuresti, epämääräisten viestien ja liitetiedostojen avaamista tulee välttää.

Onnistuneessa tartunnassa kiristyshaittaohjelma lukitsee koneen tiedostot salakirjoituksella ja vaatii maksettavaksi lunnasrahoja tiedostojen avaamiseksi. Pahimmillaan myös jaettujen verkkolevyjen tiedostot on salattu, jolloin myös siellä säilytetyt varmuuskopiot voivat tulla lukituksi.

Ennaltaehkäisy

• Epämääräisten viestien ja erityisesti liitetiedostojen avaamisen välttäminen
• Ajantasaisten varmuuskopioiden ylläpitäminen ja erillään säilyttäminen
• Organisaatioissa verkon käyttäjien tiedottaminen uhasta voi lisätä huomiota ja vähentää tartuntatapuksia
• Levyjakojen kirjoitusoikeuksien kaventaminen voi lieventää tartunnan leviämistä organisaation verkossa jaetuissa tiedostoissa

Suosittelemme vahvasti organisaatioita tiedottamaan omia käyttäjiään välttämään tuntemattomista osoitteista tulleiden epäilyttävien sähköpostiviestien liitetiedostojen avaamista. Ajantasainenkaan tietoturvaohjelmisto ei välttämättä kaikissa tapauksissa tunnista haittaohjelmaa.

Salauksen poistaminen

CTB-Lockerin tuoreimpien versioiden käyttämää salausta ei voi purkaa ilman salaukseen käytettyä privaattiavainta. Kyberturvallisuuskeskus ei suosittele lunnaiden maksua tämän privaattiavaimen saamiseksi. Takeita ei ole, että avaimen saa tai että se avaa tiedostot onnistuneesti.

Lisätietoja:

• 21.1.2014 Tietoturva nyt! -artikkeli
• Kattava tietopaketti CBT-Locker kiristyshaittaohjelmasta: http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

Trend Micro on löytänyt Adobe Flash Playerista korjaamattoman, ns. "nollapäivähaavoittuvuuden" jota käytetään aktiivisesti hyväksi haittaohjelmien ujuttamisessa käyttäjien koneelle. Haavoittuvuutta on käytetty osana Angler Exploit Kit-levitysjärjestelmää.

Päivitys 5.2.2015: Adobe on julkaissut haavoittuvuuden korjaavan päivityksen. Päivityksen voi asentaa Adoben ohjeiden avulla. 

Uutta haavoittuvuutta on tavattu osana ns. "malvertising"-kampanjaa, jossa luotettujen verkkosivustojen mainoksien yhteyteen lisätään haitallista koodia. Tässä tapauksessa haitallinen koodi on ollut haavoittuvuutta hyväksikäyttävä Flash-objekti.

Malvertising-kampanjoilta ja muilta haitallisilta web-sisällöiltä voi myös suojautua käyttämällä internetselaimessa AdBlock-mainostenestoliitännäistä. AdBlockin lisäksi käyttäjä voi lisätä selaimensa tietoturvaa käyttämällä Scriptblock-liitännäistä joka estää JavaScript-koodin ajamisen ilman käyttäjän lupaa sekä Flashblock-liitännäistä, joka estää verkkosivuja ajamasta muita kuin käyttäjän erikseen hyväksymiä Flash-komponentteja. Liitännäisten nimet vaihtelevat käytettävän selaimen mukaan, mutta vastaavalla toiminnallisuudella varustettuja liitännäisiä löytyy kaikille yleisesti käytetyille verkkoselaimille.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys
• Ongelman rajoittaminen

Haavoittuvat ohjelmistot:

• Adobe Flash Player 16.0.0.296 (Windows ja Macintosh) sekä aiemmat versiot.
• Adobe Flash Player 13.0.0.264 ja 13.x-versiot.

Ratkaisu- ja rajoitusmahdollisuudet:

• Flash Playerin poistaminen käytöstä
• Mahdollisesti haitallisen sisällön suodattaminen liitännäisillä

Lisätietoa:

•  
• https://helpx.adobe.com/security/products/flash-player/apsa15-02.html
• http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/
• CVE-2015-0313
•  

Kyberturvallisuuskeskus on saanut useita ilmoituksia haittaohjelmasta, jota on levitetty sähköpostiviestien avulla. Kyseinen haittaohjelma tunnetaan nimellä Dalexis. Haittaohjelma pyrkii lisäksi lataamaan tietokoneelle CTB Locker-nimisen kiristyshaittaohjelman, joka salaa tiettyjä tietokoneen tiedostoja vahvalla salauksella sekä vaatii niiden avaamisesta virtuaalivaluutta bitcoineja.

Viime päivinä myös Suomessa on havaittu kiristyshaittaohjelmaa levittäviä sähköpostiviestejä. Tietojemme mukaan kampanja on ollut käynnissä 19.1. lähtien. Myös Suomessa on tehty havaintoja CTB Locker-haittaohjelmasta.

CTB Locker-kiristyshaittaohjelma etsii salakirjoitettavia tiedostoja tietokoneen oman kiintolevyn lisäksi USB-muisteilta, ulkoisilta kiintolevyiltä sekä verkkojaoista. Haittaohjelma käyttää anonyymiä TOR-verkkoa kommunikaatiokanavana komentopalvelimelleen.

Haittaohjelmaa on levitetty muun muassa seuraavanlaisella sähköpostiviestillä:

Lähettäjä: "Santos Becerril" <groupoid@armonigrass.net>
Aihe: New Fax Message on 2015/01/19 at 16:45:09
Liitteet: cuteys.zip

Viestin sisältö:
Fax: +074875xxxxx
Date: 2015/01/18 16:45:09 CST
Pages: 2
ID: EU-5D5245942-5441
Filename: cuteys.zip

Muista varmuuskopiot

Paras tapa torjua kiristyshaittaohjelma on huolehtia siitä, että ainakin tärkeistä tiedostoista on ajantasaiset varmuuskopiot. Tällöin tartunnasta toipumiseen riittää järjestelmän puhdistaminen tai uudelleen asentaminen ja varmuuskopioitujen tiedostojen palauttaminen. Säännöllisellä varmuuskopioinnilla suojautuu samalla myös laiterikkoja vastaan.

Kuten tavallista, haittaohjelmien leviämistä voi vaikeuttaa pitämällä ohjelmistot ja käyttöjärjestelmän päivitykset ajan tasalla, samoin kuin tietoturvaohjelmistot ja niiden haittaohjelmatietokannatkin. Tuntemattomien liitetiedostojen avaaminen ei ole suositeltavaa.

Kyberturvallisuuskeskus suosittelee varmuuskopioiden ottamista säännöllisin väliajoin. Mikäli CTB Locker on saastuttanut tietokoneen, emme suosittele maksamaan lunnaita, sillä tiedostojen takaisinsaamisesta ei ole takeita.

Lisätietoja:

• Tietoturva nyt! Haittaohjelma vangitsee tietosi
• Tietoturva nyt! [Teema] Älä panikoi, näin pääset eroon haittaohjelmasta
•  
• http://www.ransomware.fi/
• http://blog.malcovery.com/blog/ctb-locker-the-newest-crypto-malware-now-via-spam
•  

Päivityshistoria

21.01.2015 klo 14:10