Kysymyksiä ja vastauksia

Haittaohjelmien historiaa

1989: Joseph Popp kehittää ensimmäisen tunnetun haittaohjelman nimeltä AIDS Trojan (toiselta nimeltään PC Cyborg), jota käytettiin ensimmäisen kerran vuonna 1989
2005: Kiristyshaittaohjelmia alkaa ilmestyä
2006: Vuoden puolivälissä haittaohjelmat kuten Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip ja MayArchive alkavat käyttää kehittyneempää RSA-salausta, ja avainten koot kasvavat yhä suuremmiksi
2011: Windows-tuotteiden aktivointi-ilmoituksia jäljittelevä haittaohjelma ilmestyy
2013: Stamp EK (exploit kitiin) perustuva ja Mac OS X -ympäristössä toimiva haittaohjelma ilmestyy. CryptoLocker kahmii joulukuussa noin viiden miljoonan dollarin voitot
2015: Useat eri kiristyshaittaohjelmat useilla eri alustoilla aiheuttavat erittäin suurta vahinkoa

Haittaohjelmatyyppejä

  • Tiedostoja salaavat haittaohjelmat

Haittaohjelma salaa tietokoneella olevat tiedostot ja kansiot (asiakirjat, taulukot, kuvat ja videot).

Salauksen jälkeen tiedostot poistetaan, ja käyttäjälle tulee yleensä näkyviin maksuohjeet sisältävä tekstitiedosto samaan kansioon, jossa vahingoittuneet tiedostot olivat.

Käyttäjä saattaa huomata ongelman vasta yrittäessään avata jonkin näistä tiedostoista.

Joissain tällaisissa ohjelmissa näytölle ilmestyy lukitusilmoitus:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • WinLocker — tietokoneen lukitseva haittaohjelma

Haittaohjelma lukitsee tietokoneen näytön ja vaatii maksua.

Kuva ilmestyy koko näytölle ja lukitsee kaikki muut ikkunat.

Ohjelma ei salaa tiedostoja.

Polyransom2

  • Master Boot Record (MBR) — rootkit-ohjelma

MBR-tietue eli pääkäynnistystietue on tietokoneen kiintolevyn alue, jossa käyttöjärjestelmä voidaan käynnistää.

Rootkit vaihtaa MBR-tietueen ja keskeyttää normaalin käynnistysprosessin.

Näytölle ilmestyy lunnasvaatimus.

Master-Boot.jpg

  • Www-palvelimia salaavat haittaohjelmat

Haittaohjelma hyökkää www-palvelimiin ja salaa tiedostoja.

Verkkopalveluihin kohdistuvissa hyökkäyksissä käytetään usein hyväksi sisällönhallintajärjestelmien tunnettuja haavoittuvuuksia.

Ransomware encrypting web servers

  • Mobiililaitteisiin (Android) kohdistuvat haittaohjelmat

Mobiililaitteeseen (yleensä Android-laitteeseen) voi tulla haittaohjelma huomaamatta ”drive-by downloads” latausten kautta.

Mobiililaitteen voi saastuttaa myös suosituksi palveluksi, esimerkiksi Adobe Flashiksi, naamioitu väärennetty sovellus tai virustentorjuntaohjelma.

Mobile Ransomware

Jos joutuu hyökkäyksen kohteeksi, pitääkö lunnaat maksaa?

Lunnaiden maksamista ei koskaan suositella, koska se ei takaa sitä, että ongelma ratkeaa. Lisäksi moni asia voi mennä vahingossa pieleen. Haittaohjelmassa voi esimerkiksi olla ohjelmavirheitä, joiden vuoksi salattuja tietoja ei saa takaisin, vaikka oikea avain löytyisikin.

Lunnaiden maksaminen myös osoittaa verkkorikollisille, että haittaohjelma toimii. Sen seurauksena he jatkavat toimintaansa ja etsivät uusia tapoja hyödyntää järjestelmiä, mistä seuraa lisää tartuntoja ja lisää rahaa heidän tileilleen.

Miten kiristysohjelmahyökkäys toimii?

Haittaohjelma tulee yleensä sähköpostiviestin liitteessä, joka voi olla suoritettava tiedosto, arkistotiedosto tai kuva. Kun liite avataan, haittaohjelma pääsee käyttäjän järjestelmään. Verkkorikolliset voivat myös piilottaa haittaohjelman internetsivustolle. Se pääsee järjestelmään käyttäjän vieraillessa sivustolla tietämättään.

Käyttäjä ei heti näe, että hän on joutunut hyökkäyksen kohteeksi. Haittaohjelma toimii äänettömästi taustalla siihen asti, kunnes järjestelmä tai tiedot lukitaan. Sen jälkeen näytölle ilmestyy valintaikkuna, jossa käyttäjälle kerrotaan, että tiedot on lukittu ja että lukituksen purkamiseksi on maksettava lunnaat. Tässä vaiheessa on jo myöhäistä saada tiedot turvaan.

Löydät lisätietoja alla olevasta videosta:

Ketkä joutuvat hyökkäysten kohteiksi?

Kaikki kuluttajat ja yritykset voivat joutua haittaohjelmahyökkäysten kohteiksi. Verkkorikolliset eivät valitse kohteitaan, ja he pyrkivät usein iskemään mahdollisimman moneen käyttäjään saadakseen mahdollisimman suuret voitot.

Ketkä joutuvat hyökkäysten kohteiksi?

Kyllä joutuvat. Verkkorikolliset tietävät yritysten todennäköisemmin maksavan lunnaat, koska lukitut tiedot ovat yleensä sekä arkaluonteisia että elintärkeitä yritystoiminnalle. Lisäksi joskus voi tulla kalliimmaksi palauttaa varmuuskopiot kuin maksaa lunnaat.

Miksi kiristyshaittaohjelmiin on niin vaikea löytää yhtä ratkaisua?

Kiristyshaittaohjelmia tulee koko ajan lisää – tällä hetkellä liikkeellä on 50 kiristysohjelmaperhettä – ja ne kehittyvät nopeasti. Jokaisen uuden version myötä tulee uusia ominaisuuksia ja salaus paranee. Tätä ei voi katsoa sormien läpi!

Yksi syy siihen, miksi yhtä ratkaisua on niin vaikea löytää, on se että salaus itsessään ei ole haitallinen toiminto. Se on itse asiassa hyvä toiminto, jota moni luotettava ohjelma käyttää.

Ensimmäinen salaukseen perustuva haittaohjelma käytti symmetristä salausta, jossa salaukseen ja sen purkamiseen käytetään samaa avainta. Salaus saatiin yleensä hyvin purettua tietoturvayritysten avustuksella. Ajan myötä verkkorikolliset alkoivat käyttää epäsymmetristä salausta, jossa käytetään kahta avainta – tiedostojen salaukseen julkista ja salauksen purkamiseen yksityistä avainta.

Eräs tunnetuimmista kiristyshaittaohjelmista on CryptoLocker Trojan, joka käyttää myös julkisen avaimen algoritmia. Se saastuttaa kaikki verkon koneet ja ottaa yhteyden komentopalvelimeen ladatakseen julkisen avaimen. Yksityisen avaimen voivat saada haltuunsa vain ohjelman kehittäneet rikolliset. Yleensä hyökkäyksen kohteeksi joutuneella on enintään 72 tuntia aikaa maksaa lunnaat, ennen kuin hänen yksityinen avaimensa poistetaan pysyvästi. Ilman tätä avainta tiedostojen salaus on mahdoton purkaa.

Kannattaa siis ensisijaisesti estää kiristysohjelmat. Moni virustentorjuntaohjelma pystyy nykyään tunnistamaan laitetta uhkaavan haittaohjelman jo hyvin varhaisessa vaiheessa, ennen kuin mitään arkaluonteisia tietoja katoaa. On tärkeää, että virustentorjuntaohjelman käyttäjät muistavat kytkeä tämän toiminnon päälle.

Kuinka hyvin pystytte auttamaan hyökkäysten kohteiksi joutuneita saamaan tiedostonsa takaisin?

No More Ransom -hanke on vasta alussa, mutta teemme jatkuvasti yhteistyötä tietoturvayritysten ja lainvalvontaviranomaisten kanssa tunnistaaksemme mahdollisimman monen eri kiristysohjelman avaimia.  Otamme mielellämme vastaan kaikki tiedot, joista voi olla meille apua.

Mikä Crypto Sheriff on, ja miten sitä käytetään?

Crypto Sheriff on työkalu, joka auttaa meitä selvittämään, mikä kiristyshaittaohjelma on saastuttanut laitteesi, ja löytyykö salauksen purkuun ratkaisua. Alla olevasta videosta näet, miten Crypto Sheriff toimii:

Miksi teiltä saamani purkuavain ei toimi, vaikka käytän varmasti oikeaa työkalua?

Se on mahdollista. Joskus saamme avaimista vain osan, joten sivustollamme kannattaa käydä säännöllisesti tarkistamassa päivitetyt tiedot.

Milloin kiristyshaittaohjelman lukitsemien tiedostojen salaus on mahdollista purkaa?

Se on mahdollista seuraavissa tapauksissa:

  • Ohjelman kehittäjät ovat tehneet virheen, minkä ansiosta salaus on mahdollista purkaa. Näin on käynyt kiristysohjelmien nimeltä Petya ja CryptXXX tapauksissa.
  • Ohjelman kehittäjät katuvat toimintaansa ja julkaisevat avaimet, tai pääsalausavaimen, kuten TeslaCrypt-ohjelman tapauksessa.
  • Lainvalvontaviranomaiset takavarikoivat palvelimen ja jakavat palvelimella olevat avaimet, kuten esimerkiksi CoinVault.-ohjelman tapauksessa.


Joskus lunnaiden maksaminenkin toimii, mutta se ei kuitenkaan välttämättä johda tiedostojesi salauksen purkamiseen. Lisäksi maksamalla tuet rikollista yritystoimintaa ja olet näin ollen osittain vastuussa siitä, että yhä useammat ihmiset joutuvat kiristysohjelmahyökkäysten kohteiksi.

Miksi päätitte aloittaa No More Ransom -hankkeen?

Ei ole mikään salaisuus, että käyttäjien järjestelmiä salaavista ja lunnaita vaativista kiristyshaittaohjelmista on viime vuosina tullut erittäin suuri ongelma. Ongelma on levinnyt niin laajalle, että sitä voisi hyvin kutsua epidemiaksi. Kiristysohjelmien kohteiksi joutuneiden lukumäärä kasvaa huimaa vauhtia. Huhtikuun 2015 ja maaliskuun 2016 välisenä aikana hyökkäyksen kohteeksi joutui 718 000 käyttäjää; lukumäärä on 5,5-kertainen verrattuna vastaavaan ajankohtaan vuosina 2014–2015.

Poliisi ei pysty yksin torjumaan verkkorikollisuutta, varsinkaan haittaohjelmahyökkäyksiä. Turvallisuusalan tutkijat eivät myöskään pysty siihen ilman lainvalvontaviranomaisten tukea. Poliisi, oikeusviranomaiset, Europol ja tietoturvayritykset jakavat yhdessä vastuun kiristyshaittaohjelmien vastaisesta taistelusta. Yhdessä teemme kaikkemme saadaksemme estettyä tuottoisan rikollisen toiminnan ja palautettua tiedostot niiden laillisille omistajille, ilman että näiden täytyy maksaa suuria summia rahaa.

Onko kotimaassani samanlaisia hankkeita?

No More Ransom -hanke on kansainvälinen hanke, joka osoittaa, kuinka tärkeää julkisen ja yksityisen sektorin välinen yhteistyö on verkkorikollisuuden torjunnassa. Tätä yhteistyötä tehdään yli maantieteellisten rajojen. Hankkeen tärkein tavoite on jakaa tietoa ja valistaa käyttäjiä ympäri maailman siitä, miten haittaohjelmahyökkäyksiä voidaan estää. Uskomme sen lopulta tukevan hyökkäysten kohteille aiheutuneiden vahinkojen korjaamista kaikkialla maailmassa. Auttamalla käyttäjiä saamaan järjestelmänsä takaisin hallintaansa osoitamme heille, että he voivat tehdä asialle jotain ja välttyä maksamasta lunnaita rikollisille.

Alkuvaiheessa portaalissa on neljä salauksenpurkutyökalua erityyppisiin haittaohjelmiin. Ne ovat kaikki saatavilla ilmaiseksi ja toimivat kaikilla käyttäjillä, jotka ovat joutuneet sivustolla mainittujen hyökkäysten kohteiksi – riippumatta siitä, missä päin maailmaa käyttäjät ovat.