Go to Top

Ransomware – Kaikki mitä sinun tulee tietää kiristyshaittaohjelmista

Ransomware-haittaohjelmat

Viime vuosina kyberrikollisuus on kasvanut hälyttävällä tahdilla. Tietotekniikan kehitys valitettavasti kulkee käsi kädessä kyberrikollisuuden lisääntymisen kanssa.

Cyber Security Breaches Survey -tutkimuksen mukaan vuonna 2018 yrityksistä jopa 43 % joutui jonkinlaisen tietoturvahyökkäyksen uhriksi. Edellisenä vuonna pelkästään Kalifornian osavaltio menetti 214 miljoonaa dollaria kyberrikollisuuden takia.

Kirjoitimme englanninkielisessä blogissamme hiljattain tuoreimmasta uutisiin päätyneestä tietovuodosta eli hakkereiden julkaisemasta valtavasta Collection #1 -henkilötietokokoelmasta. Ei ole ihme, että kyberrikollisuus on kasvamassa todella suureksi huolenaiheeksi, etenkin kun otetaan huomioon, että sen arvioidaan tuottaneen kyberrikollisille pelkästään viime vuonna peräti 1,5 miljardia dollaria.

Kyberrikollisuudella on monia muotoja, aina tietojenkalasteluhuijauksista nettipetoksiin ja nettihäirintään. Keskitymme tässä blogipostauksessa ransomware- eli kiristyshaittaohjelmiin.

Mitä ransomware-haittaohjelmat ovat?

Ransomware tarkoittaa haittaohjelmia, jotka on suunniteltu joko estämään tietokoneen käyttö tai julkaisemaan uhrin henkilökohtaisia tietoja verkossa. Haittaohjelma kiristää uhriltaan lunnaita, luvaten – ei välttämättä totuudenmukaisesti – palauttaa tiedot uhrin käyttöön tämän suoritettua maksun.

Jo 1980-luvulla ihmisiä piinanneet troijalaiset kiristyshaittaohjelmat ovat olleet uutisissa myös pitkin kulunutta vuosikymmentä. Kyberrikollisten ansaintamahdollisuudet ovat kuitenkin kohentuneet toden teolla Bitcoinin käyttöönoton jälkeen. Kryptovaluutan ansiosta rikolliset voivat kerätä rahaa uhreiltaan helposti ilman tarvetta perinteisten kanavien käytölle.

Mistä ransomware-ohjelmat tulevat?

Kiristyshaittaohjelmien tekijät ovat erittäin taitavia ohjelmoinnin asiantuntijoita. Ransomware voi tulla koneellesi sähköpostin liitteestä, käyttämästäsi tietoverkosta tai selaimen kautta mikäli vierailet tällaisen haittaohjelman saastuttamalla verkkosivustolla.

Miten ransomware toimii?

Tietojenkalastelu

Yleisin ransomware-haittaohjelmien leviämistavoista ovat tietojenkalasteluhuijaukset eli luotettaviksi tekeytyvät sähköpostin liitetiedostot. Tietoturvaohjelmistoyritys Trend Micron tekemän tutkimuksen mukaan 91 % kyberhyökkäyksistä ja niiden aiheuttamista tietomurroista alkoi kohdennetulla tietojenkalasteluviestillä.

Kun liitetiedosto on ladattu ja avattu, haittaohjelma kaappaa uhrin tietokoneen hallinnan ja salaa osan käyttäjän tiedostoista. Salauksen purkaminen onnistuu ainoastaan salausavaimella, jonka vain hyökkääjä tuntee.

Joissakin tapauksissa haittaohjelma näyttää ilmoituksen, jonka mukaan käyttäjän Windows on lukittu. Käyttäjää kehotetaan sitten soittamaan “Microsoftin” puhelinnumeroon ja syöttämään puhelimeen kuusinumeroisen koodin käyttöjärjestelmänsä uudelleenaktivoimiseksi. Viesti väittää puhelun olevan maksuton, mikä ei kuitenkaan pidä paikkaansa. Soittamalla vale-Microsoftille käyttäjä tulee itse asiassa kerryttäneeksi itselleen tuntuvan kaukopuhelinmaksun.

Esimerkki tietojenkalasteluviestistä

Esimerkki tietojenkalasteluviestistä

Doxware

Toinen haittaohjelmien muoto ovat leakware- eli doxware-ohjelmat. Ellei käyttäjä suostu maksamaan lunnaita, nämä haittaohjelmat uhkaavat julkaista uhrin koneelta löytämiään arkaluonteisia tietoja. Usein kohteena ovat sähköpostit tai word-tiedostot, mutta olemassa on myös mobiiliversioita, jotka uhkaavat uhriaan puhelimesta löytyvien viestien, kuvien ja yhteystietoluetteloiden julkaisulla.

Doxwaren tiedetään onnistuvan kiristämään rahaa uhreilta ransomwarea tehokkaammin. Ransomwarehan ei tehoa jos käyttäjällä on erilliset varmuuskopiot haittaohjelman salaamista tiedostoista; kun doxware-haittaohjelma sen sijaan uhkaa julkaista tietoja joita uhri ei halua julki, tehtävissä ei ole juuri muuta kuin maksaa hyökkääjän vaatimat lunnaat.

Kalliiksi eivät tule pelkästään lunnaat!

Vaikka lunnaiden maksamisessa itsessään olisi jo harmia kylliksi, niiden hinta voi itse asiassa jäädä pieneksi verrattuna kuluihin, joita haittaohjelman aiheuttamat vahingot aiheuttavat. Kuluja voivat aiheuttaa muun muassa:

  • Tietojen vahingoittuminen ja tuhoutuminen (tai häviäminen)
  • Hukattu tuotteliaisuus
  • Normaalin liiketoiminnan häiriintyminen vielä hyökkäyksen mentyä ohi
  • IT-forensiikka
  • Kaapattujen tietojen ja järjestelmien palautus ja poistaminen
  • Maineelle koituvat vahingot
  • Työntekijöiden kouluttaminen reaktiona hyökkäykseen

Kun yllä olevat seikat otetaan huomioon, ei ole lainkaan yllättävää että kiristyshaittaohjelmien aiheuttamien vahinkojen ennustetaan tänä vuonna kohoavan 11,5 miljardiin dollariin. Vuoden loppuun mennessä kyberhyökkäyksiä ennustetaan tapahtuvan keskimäärin 14 sekunnin välein; viime vuonna niitä tapahtui keskimäärin 40 sekunnin välein.

Maksaa vai eikö maksaa

Koska rahan antaminen rikollisille auttaa näitä luonnollisesti levittämään lisää kiristyshaittaohjelmia, useimmat kyberrikollisuuden asiantuntijat kehottavat jättämään kiristäjien vaatimat lunnaat maksamatta.

Silti monet organisaatiot, punnittuaan kiristyksen kohteena olevien tietojen arvoa lunnaiden suuruutta vastaan, päättävät olla noudattamatta asiantuntijoiden kehotusta. Viime vuonna 45 % ransomwaren kohteeksi joutuneista yhdysvaltalaisista yrityksistä päätti maksaa heiltä vaaditut lunnaat. Miksi ihmeessä?!

Vaikka maksamisesta kieltäytyminen on suositeltavaa yritysten yhteisen edun kannalta, se ei ehkä ole paras ratkaisu kiristyksen kohteena olevalle yritykselle itselleen. Ei etenkään siinä tapauksessa jos on olemassa mahdollisuus että yritys menettää pysyvästi itselleen elintärkeitä tietoja, saa sakkoja viranomaisilta tai menee kokonaan nurin. Kun vaihtoehtoina ovat joko suhteellisen vaatimattomien lunnaiden maksaminen oman liiketoiminnan pelastamiseksi tai maksamisesta kieltäytyminen yhteisen hyvän takia, useimmat yritykset eivät jää miettimään kahta kertaa.

Usein kyberrikolliset asettavat vaatimansa lunnaat sellaiselle tasolle, että he saavat vaivannäöstään riittävän ison palkkion mutta lunnaiden maksaminen tulee kiristyksen kohteelle halvemmaksi kuin menetettyjen tietojen rekonstruointi. Joskus uhrille tarjotaan lisäksi alennusta mikäli tämä maksaa lunnaat tietyn ajan kuluessa, esimerkiksi kolmen vuorokauden sisällä.

Tämän takia jotkin yritykset ovat alkaneet kerätä bitcoin-säästöjä nimenomaan lunnaiden maksamista varten. Tätä tapahtuu etenkin Isossa-Britanniassa, jossa yritykset vaikuttavat olevan keskimääräistä alttiimpia maksamaan lunnaat. Exeltek Consulting Groupin toimitusjohtajan Gotham Sharman mukaan “Noin joka kolmas keskisuuri brittiyritys kertoo hankkineensa bitcoin-varannon sellaisten ransomware-hätätapausten varalta, joissa muihin vaihtoehtoihin ei voida turvautua.”

Kuinka toimia jos on joutunut ransomwaren uhriksi

Jos huomaat ransomwaren saastuttaneen laitteesi, ensimmäiseksi sinun on selvitettävä, millaisesta kiristyshaittaohjelmasta on kyse. Jos et pysty ohittamaan näytölle ilmestynyttä ransomware-ilmoitusta, kyseessä on luultavasti näytön lukitseva ohjelma. Jos voit selata sovelluksiasi mutta et pääse käsiksi tiedostoihisi, videoihisi jne. kyse on pahemmasta vaihtoehdosta eli tiedostot salanneesta ransomware-ohjelmasta. Jos pystyt käyttämään laitettasi ja pääset käsiksi kaikkiin tiedostoihisi kyseessä on luultavasti huijausohjelma joka ainoastaan yrittää pelotella sinut maksamaan.

Tästä blogipostauksesta voit lukea yksityiskohtaisia neuvoja siitä, mitä tehdä kun on joutunut sekä näytön lukitsevan että tiedostot salaavan kiristyshaittaohjelman uhriksi.

Kuinka ransomwaren uhriksi joutumisen voi ennaltaehkäistä?

  • Varmista, että sinulla on hyvät varmuuskopiot kaikista tiedostoistasi. Jos niille tapahtuu jotakin, varmuuskopiolta tehty palautus on nopein tapa päästä käsiksi tietoihin.
  • Kun vastaan sähköposteihin, pyytämättä tuleviin puheluihin tai teksti- tai pikaviesteihin, älä koskaan paljasta mitään henkilötietojasi. Tietojenkalastelijat saattavat yrittää huijata työntekijöitä joka asentamaan  kiristyshaittaohjelman laitteelleen tai paljastamaan tietojaan teeskentelemällä olevansa töissä IT-osastolla.
  • Varmista että sinulla on luotettava virustorjuntaohjelma ja palomuuri. Koska markkinoilla on lukuisia valeohjelmia, on elintärkeää, että virustorjuntasi ja palomuurisi ovat kyllin vahvoja suojatakseen sinua haittaohjelmilta.
  • Varmista, että sähköpostipalvelimillasi on käytössä sisällön skannaus ja suodatus. Jokainen saapuva sähköposti tulee skannata tunnettujen uhkien varalta sekä kaikki epäilyttävät, mahdollisesti harmilliset liitetiedostot on blokattava.
  • Jos lähdet työmatkalle, varmista IT-osastosi tietävän asiasta etukäteen varsinkin siinä tapauksessa, että saatat joutua käyttämään julkisia langattomia verkkoja. Jos käytät julkisia wifi-verkkoja, huolehdi että käytössäsi on luotettava VPN-yhteys.
  • Huolehdi tietokoneesi ohjelmien päivittämisestä, niin käyttöjärjestelmän, selaimen kuin käyttämiesi työkalupalkin liitännäisten osalta.

Lue tästä blogipostaukseemme kuinka suojaat yritystäsi kyberrikoksilta.

Ontrack ja ransomware

Seuraamme Ontrackilla jatkuvasti 271 erilaista ransomwaren tyyppiä. Koska kiristyshaittaohjelmat muuttuvat ja kehittyvät koko ajan, haluamme varmistaa tarkkailevamme niiden tuoreimpia käänteitä. Pysymällä ajan tasalla ransomwaren alituiseen muuttuvista muodoista parannamme mahdollisuuksiamme pelastaa haittaohjelmien hävittämät tiedot.

Pystymme tällä hetkellä purkamaan 138 erilaisen ransomware-ohjelman tekemän salauksen. Vain pari vuotta sitten vastaava luku oli vain 6, joten olemme ottaneet isoja kehitysaskelia!

Kun data on hukassa on aina parasta ottaa yhteyttä asiantuntijaan. Jos olet joutunut ransomwaren uhriksi, ota yhteyttä Ibasin kaltaiseen asiantuntijatahoon joka voi mahdollisesti auttaa sinua saamaan kaapatut tiedot takaisin haltuusi.