Look out for ransomware

Poliisi, CERT-FI ja F-Secure Oyj ovat yhteistyössä laatineet tämän sivuston lisätäkseen tietoisuutta verkkorikollisuudesta, ennalta estääkseen niistä aiheutuvia rikosvahinkoja ja antaa neuvoja yleisesti käytettäväksi.
Jaa Twitterissä Jaa Facebookissa

Mitä on ransomware?

Kansainvälinen rikollisuus hakee laitonta taloudellista hyötyä erilaisilla verkkorikoksilla joihin usein liittyvät haittaohjelmat. Eräitä tavallisimpia haittaohjelmia ovat kiristyshaittaohjelmat (ransomware).

Jo useamman vuoden ajan levinneet kiristysohjelmat esittävät tietokoneen käyttäjälle ilmoituksen joka näyttää tulevan paikallisen maan viranomaiselta. Ilmoituksessa vaaditaan maksettavaksi sakkoa ja näytetään uhrille viesti, jossa näkyy poliisin virallinen tunnus.

Viestissä vaaditaan yleensä 100–150 euron sakkomaksua jonka kerrotaan poistavan koneen lukituksen. Tekotapa havaittiin ensin Länsi-Euroopan maissa, mutta se on sittemmin levinnyt hyvin laajalti ympäri maailmaa.

Tiedostoja salaavat
kiristyshaittaohjelmat

Tiedostoja salaavat kiristyshaittaohjelmat (ransomware) ovat viime aikoina kasvattaneet suosiotaan verkkorikollisten keskuudessa. Nämä haittaohjelmat pyrkivät uhrin tietokoneen saastutettuaan salaamaan uhrin tärkeät tiedostot ja tämän jälkeen vaativat lunnaiden maksamista vastineeksi salauksen purkuavaimesta ja tiedostojen palauttamisesta. Lunnaiden maksaminen ei kuitenkaan takaa tiedostojen palautumista ja ainoastaan kannustaa sekä tukee verkkorikollisten rikollista toimintaa. Älä koskaan maksa rikollisille!

Yleensä kiristyshaittaohjelman saastuttama tietokone on puhdistettavissa mutta salatut tiedostot on mahdollista palauttaa ainoastaan oikealla purkuavaimella. Tästä syystä säännölliset varmuuskopiot ovat olennaisia suojauduttautuessa kiristyshaittaohjelmilta. Mikäli tietokoneesi on saastunut kiristyshaittaohjelmalla on suositeltava toimintatapa ilmoittaa asiasta viranomaisille, puhdistaa haittaohjelma saastuneelta tietokoneelta ja palauttaa salatut tiedostot varmuuskopioista.

CryptoWall

Yksi tämän hetken yleisimmistä kiristyshaittaohjelmaperheistä on CryptoWall. Sitä levitetään edelleen aktiivisesti sekä roskapostin että haitallisten verkkosivustojen välityksellä. CryptoWall hyödyntää uhrin tiedostojen salaamiseen suosittua RSA salausalgoritmia. CryptoWallin salaamien tiedostojen purkamiseen ei ole tiedossa muuta keinoa kuin alkuperäisen purkuavaimen käyttäminen.

 

TorrentLocker

TorrentLocker on toinen kiristyshaittaohjelmaperhe, joka on viime aikoina ollut aktiivisessa käytössä. Erityistä TorrentLockerissa on, että sen kirjoittajat eivät onnistuneet toteuttamaan tiedostojen salausta täysin oikein. Tämän seurauksena suomalaisen tietoturvayhtiön Nixu Oy:n tutkijat onnistuivat murtamaan TorrentLockerin salauksen. TorrentLockerin salaamat tiedostot on siten tietyissä tilanteissa mahdollista palauttaa täydellisesti.

 

Esimerkkejä

Ohjeet

Viranomaiset eivät lukitse tietokoneita eivätkä vaadi sakkoja tai muitakaan maksuja internetin maksupalveluiden kautta. Mikäli maksu suoritetaan, raha kulkeutuu rikollisille eikä lukitus poistu. Haittaohjelma on poistettavissa koneelta, mutta poistaminen vaatii usein teknistä osaamista. Ohessa ovat linkit F-Securen päivitettyihin poisto-ohjeisiin.

Mikäli et pysty seuraamaan ohjeita, ota yhteys ammattilaiseen.