News kohteet joissa tunniste: "haittaohjelma"

Haittaohjelmaa levitetään saksankielisen sähköpostilaskun välityksellä

Tunnisteet: haittaohjelma, huijaus

Kuvitteellisen laskun sisältävässä saksankielisessä sähköpostissa on linkki haittaohjelman sisältävään tiedostoon. Tuntemattomilta lähettäjiltä saapuneiden sähköpostien linkkejä tai liitetiedostoja ei tule avata.

Kyberturvallisuuskeskus on saanut paljon ilmoituksia Deutsche Telekomin, Vodafonen, Volksbankin, FinanzGruppe Fiducian tai muiden saksalaisyritysten nimissä lähetetystä sähköpostilaskusta (rechnung). Sähköposti on kirjoitettu saksaksi, ja se sisältää linkin zip-pakattuun tiedostoon, jonka sisällä on Emotet-haittaohjelma. Kyberturvallisuuskeskus sai ensimmäiset havainnot sähköposteista kesäkuussa, mutta maanantaista 10.11. alkaen kampanja on selvästi voimistunut.

Emotet on troijalaistyyppinen haittaohjelma, joka varastaa muun muassa verkkopankkitunnuksia. Jos käyttäjä on ladannut ja ajanut sähköpostin linkin takaa löytyvän tiedoston, tulee tietokone tarkastaa tuoreella virustorjuntaohjelmistolla haittaohjelmatartunnan poistamiseksi.

Nyt käynnissä olevassa kampanjassa haittaohjelman tartunta edellyttää zip-paketin sisällä olevan tiedoston avaamista. Usein haittaohjelma tarttuu jo ensimmäistä tiedostoa tai linkkiä klikatessa, jonka vuoksi mitään tuntemattomilta lähettäjiltä tulevia linkkejä tai tiedostoja ei tule avata.

 

Kuva 1: Kuvakaappaus eräästä kampanjan yhteydessä levitettävästä haittaohjelman sisältävästä tiedostosta.

 

Alla joitain kampanjassa hyödynnettyjä sähköposteja:

Posti 1:

Lähettäjä: Telekom Deutschland GmbH [mailto:info@mebo-technik.de] 
Lähetetty: 12. marraskuuta 2014 16:06
Vastaanottaja: 
Aihe: Rechnung 12.11.2014 (304139)
Guten Tag, 
Ihre aktuelle Rechnung für Ihre Kundennummer 85279 vom 12.11.2014 steht 
im PDF-Format für Sie bereit. 
Rechnung_2014_11_417830000085279.zip. 
In Ihrem Account finden Sie alle Ihre Rechnungen in der Rechnungsübersicht. 
Der sofort fällige Gesamtbetrag von EUR 241,91 wird Ihrem Konto in Kürze belastet. 


Mit freundlichen Grüßen 
Ihre Telekom 
 

Posti 2:

Lähettäjä: FinanzGruppe Fiducia [mailto:dap.wroclaw@dap.com.pl] 
Lähetetty: 12. marraskuuta 2014 11:47
Vastaanottaja: 
Aihe: Code : (849812943) 12. November 2014 um 09:44:16 Uhr
Volksbank
Der Auftrag wurde entgegengenommen. 
12. November 2014 um 09:44:16 Uhr 
Verwendete TAN: 475311 
Überweisung - Standard
Empfänger: Piotr Krzysztof Setkowicz 
IBAN: GB11NWBK47537459475311 
BIC: NWBKGB4753R 
Bei Kreditinstitut: BARCLAYS BANK PLC 
Betrag in EUR: 2911,19 EUR 
Verwendungszweck: RECHNUNG NR11_47539 
Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
12.11.2014_Informationen_betreffend_Transaktion_pdf_745-R745745475311.zip.
 

Posti 3:

 
Lähettäjä: Volksbank [mailto:hj.vengels@hausderhandwerker.de] 
Lähetetty: 13. marraskuuta 2014 12:21
Vastaanottaja: 
Aihe: Code : (308757776) 13. November 2014 um 10:20:10 Uhr
Volksbanken
Der Auftrag wurde entgegengenommen. 
13. November 2014 um 10:20:10 Uhr 
Verwendete TAN: 465828 
Überweisung - Standard
Empfänger: Piotr Krzysztof Setkowicz 
IBAN: GB28BARC46583467465828 
BIC: BARCGB4658Z 
Bei Kreditinstitut: TSB BANK (FORMERLY LLOYDS TSB) 
Betrag in EUR: 2728,09 EUR 
Verwendungszweck: Minijob Vor NR28_46587 
Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
13.11.2014_Informationen_bzgl_Transaktion_pdf_346-Z346346465828.zip. 
 

Päivityshistoria

  • 13.11.2014 klo 13:28
    Julkaistu
  • 13.11.2014 klo 13:31
    Muokattu haittaohjelman kuvausta
Lue lisää

Älä panikoi, näin pääset eroon haittaohjelmasta

Tunnisteet: haittaohjelma

Huolellisuus verkkoselailussa, päätelaitteen päivittämisessä ja virussuojauksessa estää liki kaikki haittaohjelmatartunnat. Jos oma päätelaite kuitenkin saastuu, se on usein vielä pelastettavissa. Tärkeää on huomata haittaohjelmatartunta nopeasti ja puhdistaa laite esimerkiksi luotettavalla virustorjuntaohjelmalla. Tässä artikkelissa päätelaitteella tarkoitetaan tietokoneita ja mobiililaitteita kuten matkapuhelimia tai tabletteja.

Ennaltaehkäisy on helpompaa kuin jälkien siivoaminen

Ohjelmistopäivitykset sisältävät usein runsaasti tietoturvaan liittyviä korjauksia. Siksi päätelaite, jonka käyttöjärjestelmä ja siinä käytetyt ohjelmistot on pidetty ajan tasalla, on turvallisempi ja vähemmän altis haittaohjelmatartunnalle kuin päivittämätön. Haittaohjelma voi tarttua päätelaitteeseen esimerkiksi www-selailun yhteydessä murretun verkkosivuston välityksellä. Tyypillisesti saastumiselle alttiissa järjestelmässä käytetään vanhentunutta selainta, käyttöjärjestelmää tai liitännäissovelluksia (muun muassa Adobe Flash Player tai Java). Myös USB-muistitikku tai sähköpostiviestin liitetiedosto voi toimia haittaohjelman välittäjänä ja tartuttaa päätelaitteen. Verkosta ladattavat ohjelmatkin voivat sisältää haitallista koodia, siksi tällaisten ohjelmien alkuperä on syytä tarkistaa.

Hyvinkin ylläpidetty päätelaite voi saada haittaohjelmatartunnan tuoreesta haavoittuvuudesta, jos esimerkiksi päätelaitteen virustorjunta ei tunnista tuoretta haittaohjelmaa tai ohjelmaan ei ole vielä päivitettyä versiota saatavilla. Päätelaitteelle pesiytynyt haittaohjelma voi saattaa laitteen käyttäjän yksityisyyden ja tiedot vaaraan. Haittaohjelma voi kerätä esimerkiksi käyttäjätunnus ja salasana -yhdistelmiä eri palveluihin kirjauduttessa (engl. keylogger) tai se voi avata laitteeseen takaoven (engl. backdoor), joka tarjoaa hyökkääjälle pääsyn käyttäjän päätelaitteelle verkon yli. Päätelaite saatetaan myös valjastaa osaksi bottiverkkoa. Tällaiseen bottiverkkoon koottuja tietokoneita voidaan käyttää esimerkiksi roskapostittamiseen tai hajautettuihin palvelunestohyökkäyksiin (engl. DDoS, Distributed Denial of Service).

Haittaohjelmatartuntojen suuri määrä kertoo niiden olevan varsin yleisiä. Valitettavan suuri osa verkon käyttäjistä saa tietokoneeseensa tai älykännykkäänsä haittaohjelman huolellisesta varautumisestaan huolimatta. Haittaohjelmien välttämiskeinojen lisäksi on myös hyvä tietää, miten haittaohjelmatartunnan voi huomata päätelaitteessaan ja miten tällaisessa tilanteessa tulee toimia.

Miten haittaohjelmatartunta havaitaan?

Jos päätelaitteen virustorjuntaohjelmisto hälyttää, se on todennäköisesti havainnut jotain vahingollista käyttäjän tiedostoissa. Virustorjunta ei kuitenkaan tunnista kaikkia haittaohjelmia. Myös päätelaitteen normaalista poikkeava toiminta voi viitata haittaohjelmatartuntaan. Seuraavat oireet herättävät epäilyksiä tartunnasta:

  • itsekseen aukeavat mainosikkunat
  • koneen merkittävä hidastuminen
  • tunnistamattomat tai omituiset prosessit
  • saat nettiliittymän palveluntarjoajalta ilmoituksen haittaohjelmahavainnosta.

Kiristyshaittaohjelmat ja tiedostot salaavat haittaohjelmat esittävät käyttäjälle kiristysilmoituksen, joka kertoo tartunnasta. Alla esimerkki CryptoLocker-haittaohjelman kiristysilmoituksesta.

Mitä tehdä, jos olet saanut haittaohjelmatartunnan?

  • Älä hätäänny.
  • Tarkista päätelaite ja pyri poistamaan haittaohjelma virustorjuntaohjelmiston avulla.
  • Hankalasti poistettavien haittaohjelmien kanssa voidaan tarvita esimerkiksi torjuntaohjelmistojen valmistajien tarjoamia korjaus-CD:n (engl. recovery/rescue CD) tai USB:n kaltaisia apuvälineitä.
  • Selvitä, onko tälle haittaohjelmalle julkaistu erityisiä poisto-ohjeita.


Hankalissa tapauksissa päätelaite on tyhjennettävä kokonaan ja käyttöjärjestelmä asennettava uudelleen (esim. itsensä piilottavat rootkit-tyyppiset haittaohjelmat). Tällöin ajantasaiset, ennen saastumista otetut varmuuskopiot ovat helppo tapa palauttaa tiedostot. Jo saastuneesta päätelaitteesta otetun varmuuskopion palauttaminen voi saastuttaa laitteen uudelleen, sillä se saattaa samalla sisältää "varmuuskopion" haittaohjelmasta! Käyttäjän tietoja salakirjoittavat haittaohjelmat tekevät tietojen siirtämisen saastuneesta järjestelmästä puhtaaseen järjestelmään mahdottomaksi. Turvallisin tapa saada haittaohjelmalla saastunut tietokone uudelleen käyttöön on alustaa levyt ja asentaa käyttöjärjestelmä uudelleen.

Muista tarkistukset!

Virustorjuntaohjelmistojen tunnistetiedot päivittyvät jatkuvasti. Virustorjuntaohjelmistojen ajastettua tarkistusominaisuutta kannattaa käyttää säännöllisesti ja vaikka ajastaa tarkistus toistumaan säännöllisin väliajoin, esimerkiksi ennen varmuuskopioiden ottamista. Virustorjuntaohjelmistot skannaavat käsiteltävät tiedostot "lennossa", mutta kovalevylle on voitu tallentaa haitallista sisältöä ennen kuin virustorjuntaohjelmiston virustietokanta on ehtinyt päivittyä.
 
Monet torjuntaohjelmistojen valmistajat tarjoavat myös selaimen avulla käytettäviä työkaluja skannauksen tekemiseksi.

Yleiset haittaohjelmat

Viestintäviraston Kyberturvallisuuskeskuksen Autoreporter-järjestelmä kerää jatkuvasti tietoa verkoissa liikkuvista haittaohjelmista. Elokuussa 2014 yleisimmät haittaohjelmahavainnot olivat:

  • ZeroAccess
  • Conficker
  • Zeus
  • Torpig.


Nämä ovat Windows-käyttöjärjestelmille suunnattuja niin sanottuja "troijalaisia", eli haittaohjelmia, joita kyetään räätälöimään monenlaiseen haitalliseen käyttötarkoitukseen. Alustavan tartunnan jälkeen troijalaisen avulla voidaan uhrin koneelle siirtää toinen haittaohjelma, jonka toimintaperiaate vaihtelee. Tyypillisesti troijalaisten avulla levitetään esimerkiksi salasanoja urkkivia keylogger-ohjelmia, pankkihaittaohjelmia tai valjastetaan päätelaitteita osaksi bottiverkkoa.

Suomessa, viikoilla 31 - 35, Autoreporter-järjestelmä keräsi yhteensä 5693 haittaohjelmahavaintoa, jotka jakautuivat haittaohjelmittain seuraavasti:

Näiden haittaohjelmien lisäksi käyttäjiä ovat pitkään kiusanneet kiristyshaittaohjelmat (Ransomware), jotka esittävät käyttäjälle tekaistun viranomaisilmoituksen, jossa vaaditaan sakkomaksua. Tästä ikävämpiä versioita ovat päätelaitteen tiedostoja salaavat kiristyshaittaohjelmat, jotka vaativat lunnasrahoja tiedostojen avaamiseksi. Osa kiristyshaittaohjelmista toimii ainoastaan selaimessa, eivätkä ne saastuta tietokonetta. Näiltä voi suojautua esimerkiksi asentamalla selaimeensa liitännäisen (mm. ScriptBlock, NoScript), joka estää JavaScript-ohjelmakoodin ajamisen muilla kuin erikseen hyväksytyillä sivustoilla. Mainostenestoliitännäisten (mm. AdBlock) avulla voi suojautua mainosverkkojen ylitse levitettäviltä haittaohjelmilta.

Lisätietoja:

 
 
 

Päivityshistoria

 

  • 13.10.2014 klo 15:32
    Julkaistu

 

ICT-Palvelut tarjoaa monipuoliset ja luotettavat varmuuskopiointiratkaisut sekä kaikkiin laitteisiin soveltuvat haittaohjelmien ja virusten poistotyökalut. Kysy lisää myynnistämme.

 

Lue lisää
.