Tärkeimmät kysymykset kiristyshaittaohjelmista ja No More Ransom -projektista.
- 1989: Joseph Popp kehittää ensimmäisen tunnetun haittaohjelman 1989 AIDS Trojan (toiselta nimeltään PC Cyborg)
- 2005: Toukokuussa kiristyshaittaohjelmia alkaa ilmestyä
- 2006: Vuoden puolivälissä haittaohjelmat kuten Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip ja MayArchive alkavat käyttää kehittyneempää RSA-salausta, ja avainten koot kasvavat yhä suuremmiksi
- 2011: Windows-tuotteiden aktivointi-ilmoituksia jäljittelevä kiristyshaittaohjelma ilmestyy
- 2013: Stamp EK (exploit kitiin) perustuva ja Mac OS X -ympäristössä toimiva kiristyshaittaohjelma ilmestyvät. CryptoLocker kerää noin viiden miljoonan dollarin voitot vuoden viimeisen neljän kuukauden aikana
- 2015: Useat eri kiristyshaittaohjelmat useilla eri alustoilla aiheuttavat erittäin suurta vahinkoa
Tiedostoja salaavat kiristyshaittaohjelmat
- Kiristyshaittaohjelma salaa tietokoneella olevat tiedostot ja kansiot (asiakirjat, taulukot, kuvat ja videot).
- Salauksen jälkeen tiedostot poistetaan, ja käyttäjälle tulee yleensä näkyviin maksuohjeet sisältävä tekstitiedosto samaan kansioon, jossa vahingoittuneet tiedostot olivat.
- Käyttäjä saattaa huomata ongelman vasta yrittäessään avata jonkin näistä tiedostoista.
- Joissain tällaisissa ohjelmissa näytölle ilmestyy lukitusilmoitus:
WinLocker — tietokoneen lukitseva kiristyshaittaohjelma
- Se lukitsee tietokoneen näytön ja vaatii maksua.
- Kuva ilmestyy koko näytölle ja lukitsee kaikki muut ikkunat.
- Ohjelma ei salaa tiedostoja.
Master Boot Record (MBR) -kiristyshaittaohjelma
- MBR-tietue eli pääkäynnistystietue on tietokoneen kiintolevyn alue, jossa käyttöjärjestelmä voidaan käynnistää.
- Kiristyshaittaohjelma vaihtaa MBR-tietueen ja keskeyttää normaalin käynnistysprosessin.
- Sen sijaan näytölle ilmestyy lunnasvaatimus.
Verkkopalvelimia salaavat kiristyshaittaohjelmat
- Kiristyshaittaohjelma hyökkää verkkopalvelimiin ja salaa tiedostoja.
- Verkkopalveluihin kohdistuvissa hyökkäyksissä käytetään usein hyväksi sisällönhallintajärjestelmien tunnettuja haavoittuvuuksia.
Mobiililaitteisiin (Android) kohdistuvat kiristyshaittaohjelmat
- Mobiililaitteeseen (yleensä Android-laitteeseen) voi tulla haittaohjelma ”drive-by downloads” -latausten kautta.
- Myös suosituksi palveluksi, esimerkiksi Adobe Flashiksi tai virustentorjuntaohjelmaksi naamioitu väärennetty sovellus voi saastuttaa mobiililaitteen.
Lunnaiden maksamista ei koskaan suositella, koska se ei takaa ongelman ratkeamista. Lisäksi moni asia voi mennä vahingossa pieleen. Haittaohjelmassa voi esimerkiksi olla ohjelmavirheitä, joiden vuoksi salattuja tietoja ei välttämättä saa takaisin edes oikealla avaimella.
Lunnaiden maksaminen myös osoittaa verkkorikollisille, että haittaohjelma toimii. Sen seurauksena he jatkavat toimintaansa ja etsivät uusia tapoja hyödyntää järjestelmiä, ja tästä taas seuraa sekä lisää hyökkäyksiä että lisää rahaa rikollisten tileille.
Kiristyshaittaohjelma tulee yleensä sähköpostiviestin liitteessä, joka voi olla suoritettava tiedosto, arkistotiedosto tai kuva. Kun liite avataan, haittaohjelma pääsee käyttäjän järjestelmään. Verkkorikolliset voivat myös piilottaa haittaohjelman internetsivustolle. Se pääsee järjestelmään käyttäjän tietämättä hänen vieraillessa sivustolla.
Käyttäjä ei heti näe, että hän on joutunut hyökkäyksen kohteeksi. Haittaohjelma toimii äänettömästi taustalla siihen asti, kunnes järjestelmä tai tiedot lukitaan. Sen jälkeen näytölle ilmestyy valintaikkuna, jossa käyttäjälle kerrotaan, että tiedot on lukittu ja että lukituksen purkamiseksi on maksettava lunnaat. Tässä vaiheessa on jo myöhäistä saada tiedot turvaan.
Löydät lisätietoja alla olevasta videosta:
Kaikki kuluttajat ja yritykset voivat joutua kiristyshaittaohjelmahyökkäysten kohteiksi. Verkkorikolliset eivät valitse kohteitaan, ja he pyrkivät usein iskemään mahdollisimman moneen käyttäjään saavuttaakseen mahdollisimman suuret voitot.
Kyllä. Verkkorikolliset tietävät yritysten todennäköisemmin maksavan lunnaat, koska lukitut tiedot ovat yleensä sekä arkaluonteisia että elintärkeitä yritystoiminnalle. Lisäksi joskus voi olla kalliimpaa palauttaa varmuuskopiot kuin maksaa lunnaat.
Kiristyshaittaohjelmia tulee koko ajan lisää – tällä hetkellä liikkeellä on 50 kiristysohjelmaperhettä – ja ne kehittyvät nopeasti. Jokaisen uuden version myötä tulee uusia ominaisuuksia ja salaus paranee. Tätä ei voi jättää huomioimatta!
Yksi syy siihen, miksi yhtä ratkaisua on niin vaikea löytää, on se että salaus itsessään ei ole haitallinen toiminto. Se on itse asiassa hyvä toiminto, jota moni luotettava ohjelma käyttää.
Ensimmäinen salaukseen perustuva haittaohjelma käytti symmetristä salausta, jossa salaukseen ja sen purkamiseen käytetään samaa avainta. Salaus saatiin yleensä hyvin purettua tietoturvayritysten avustuksella. Ajan myötä verkkorikolliset alkoivat käyttää epäsymmetristä salausta, jossa käytetään kahta avainta – tiedostojen salaukseen julkista ja salauksen purkamiseen yksityistä avainta.
Eräs tunnetuimmista kiristyshaittaohjelmista on CryptoLocker Trojan, joka käyttää myös julkisen avaimen algoritmia. Se saastuttaa kaikki verkon koneet ja ottaa yhteyden komentopalvelimeen ladatakseen julkisen avaimen. Yksityisen avaimen voivat saada haltuunsa vain ohjelman kehittäneet rikolliset. Yleensä hyökkäyksen kohteeksi joutuneella on enintään 72 tuntia aikaa maksaa lunnaat, ennen kuin yksityinen avain poistetaan pysyvästi. Ilman tätä avainta tiedostojen salaus on mahdoton purkaa.
Kannattaa siis ensisijaisesti keskittyä ennaltaehkäisyyn. Moni virustentorjuntaohjelma pystyy nykyään tunnistamaan laitetta uhkaavan kiristyshaittaohjelman jo hyvin varhaisessa vaiheessa, ennen kuin mitään arkaluonteisia tietoja katoaa. On tärkeää, että virustentorjuntaohjelman käyttäjät muistavat kytkeä tämän toiminnon päälle.
No More Ransom -hanke on vasta alussa, mutta teemme jatkuvasti yhteistyötä tietoturvayritysten ja lainvalvontaviranomaisten kanssa tunnistaaksemme mahdollisimman monen eri kiristyshaittaohjelman avaimia. Otamme mielellämme vastaan kaikki tiedot, joista voi olla meille apua.
Crypto Sheriff on työkalu, joka auttaa meitä selvittämään laitteesi saastuttaneen kiristyshaittaohjelman tyypin ja sen, löytyykö salauksen purkuun ratkaisua. Alla olevasta videosta näet, miten Crypto Sheriff toimii:
Se on mahdollista. Joskus saamme avaimista vain osan, joten sivustollamme kannattaa käydä säännöllisesti tarkistamassa päivitetyt tiedot.
Se on mahdollista seuraavissa tapauksissa:
- Ohjelman kehittäjät ovat tehneet virheen, jonka ansiosta salaus on mahdollista purkaa. Näin on käynyt kiristyshaittaohjelmien Petya ja CryptXXX tapauksissa.
- Ohjelman kehittäjät katuvat toimintaansa ja julkaisevat avaimet tai pääsalausavaimen, kuten TeslaCrypt-ohjelman tapauksessa.
- Lainvalvontaviranomaiset takavarikoivat palvelimen ja jakavat palvelimella olevat avaimet, kuten esimerkiksi CoinVault.-ohjelman tapauksessa.
Joskus lunnaiden maksaminenkin toimii, mutta se ei kuitenkaan välttämättä johda tiedostojesi salauksen purkamiseen. Lisäksi maksamalla tuet rikollista yritystoimintaa ja olet näin ollen osittain vastuussa siitä, että yhä useammat ihmiset joutuvat kiristysohjelmahyökkäysten kohteiksi.
Ei ole mikään salaisuus, että käyttäjien järjestelmiä salaavista ja lunnaita vaativista kiristyshaittaohjelmista on viime vuosina tullut erittäin suuri ongelma. Ongelma on levinnyt niin laajalle, että sitä voisi hyvin kutsua epidemiaksi. Kiristyshaittaohjelmien kohteiksi joutuneiden lukumäärä kasvaa huimaa vauhtia. Huhtikuun 2015 ja maaliskuun 2016 välisenä aikana hyökkäyksen kohteeksi joutui 718 000 käyttäjää; lukumäärä on 5,5-kertainen verrattuna vastaavaan ajankohtaan vuosina 2014–2015.
Poliisi ei pysty yksin torjumaan verkkorikollisuutta, varsinkaan kiristyshaittaohjelmahyökkäyksiä. Turvallisuusalan tutkijat eivät myöskään pysty siihen ilman lainvalvontaviranomaisten tukea. Poliisi, oikeusviranomaiset, Europol ja tietoturvayritykset jakavat yhdessä vastuun kiristyshaittaohjelmien vastaisesta taistelusta. Yhdessä teemme kaikkemme saadaksemme estettyä rikollisten rahantekomahdollisuudet ja palautettua tiedostot niiden laillisille omistajille, ilman että näiden täytyy maksaa suuria summia rahaa.
No More Ransom -hanke on kansainvälinen hanke, joka osoittaa, kuinka tärkeää julkisen ja yksityisen sektorin välinen yhteistyö on verkkorikollisuuden torjunnassa. Tätä yhteistyötä tehdään yli maantieteellisten rajojen. Hankkeen tärkein tavoite on jakaa tietoa ja valistaa käyttäjiä ympäri maailman siitä, miten haittaohjelmahyökkäyksiä voidaan estää. Uskomme sen lopulta tukevan hyökkäysten kohteille aiheutuneiden vahinkojen korjaamista kaikkialla maailmassa. Auttamalla käyttäjiä saamaan järjestelmänsä takaisin hallintaansa osoitamme heille, että he voivat tehdä asialle jotain ja välttyä maksamasta lunnaita rikollisille.
Alkuvaiheessa portaalissa on neljä salauksenpurkutyökalua erityyppisiin haittaohjelmiin. Ne ovat kaikki saatavilla ilmaiseksi ja toimivat kaikilla käyttäjillä, jotka ovat joutuneet sivustolla mainittujen hyökkäysten kohteiksi – riippumatta siitä, missä päin maailmaa käyttäjät ovat.