Etähallittavaa JSocket RAT -haittaohjelmaa on levitetty ainakin 15 000 suomalaiseen sähköpostiosoitteeseen. Haittaohjelman sisältävä viesti voi tulla tutulta ihmiseltä, sillä levitykseen käytetään ilmeisesti murrettuja käyttäjätunnuksia ja niiden yhteystietolistoja.

Kyberturvallisuuskeskuksen näkemät viestiesimerkit ovat lyhyitä ja kömpelöllä suomella kirjoitettuja. Viestin lyhyyden vuoksi se voi näyttää uskottavalta ihmiselle, joka lukee sen kiireessä. Alla on kuva eräästä levitykseen käytetystä viestistä:

Myös seuraavia viestien otsikoita on nähty:

• Laskuttaa_00995647 ( Maksu)
• VS: Laskuttaa_00995647 ( Maksu)
• SV: Laskuttaa_00995647
• VS: Laskuttaa_00995647
• Dokumentti
• Laskuttaa_094895
• Faktura_0099787 {Betaling)
• Fakturra_0099787 (pagameto)
• Fattura_0099787 (pagamento)

Suositellut toimenpiteet

1. Jos olet saanut kuvatunlaisen viestin, muttet ole avannut sitä, poista viesti pysyvästi. Esimerkiksi Microsoft Outlookissa valitse viesti postilaatikosta yhdellä klikkauksella, paina näppäimistöstä vaihto (shift) -näppäin pohjaan ja paina Delete-näppäintä.
2. Jos olet avannut kuvatunlaisen viestin, varmista, ettei koneesi ole saanut tartuntaa:
   • Ota tietokone heti irti tietoverkosta haittaohjelman mahdollisen leviämisen estämiseksi.
   • Jos saastunut kone on työnantajasi antama, toimi työnantajan ohjeiden mukaan (esimerkiksi yhteydenotto ATK-tukeen).
   • Jos kyse on yksityisestä koneesta, tarkasta se päivitetyllä haittaohjelmien torjuntaohjelmalla.

JSocket RAT kytkee monia virustorjuntaohjelmistoja pois käytöstä, joten voi olla tarpeen asentaa toisella koneella USB-muistitikulle ohjelma, jolta saastuneen tietokoneen voi käynnistää haittaohjelmien tarkastusta varten (ns. anti-virus boot disk tai rescue disk).

Tartuntojen ehkäisy

Noudata varovaisuutta epäilyttäviltä näyttävien sähköpostiviestien käsittelyssä. Epäilyttävien viestien liitetiedostoja ei kannata avata. Paras tapa varmistua viestin aitoudesta on ottaa sen lähettäjään yhteyttä jollakin muulla viestivälineellä kuin sähköpostilla.

Varmista, että virustorjuntaohjelmisto toimii. Torjuntaohjelman tunnistetietokannan automaattipäivityksen tulee olla päällä ja torjuntaohjelman tulee automaattisesti tarkastaa avattavat ja suoritettavat tiedostot. Useilla työpaikoilla ATK-tuki varmistaa nämä asiat keskitetysti.

Työpaikan sähköpostijärjestelmän ylläpitäjien kannattaa ohjata kaikki sähköpostipalvelimen läpi kulkevat viestit virustorjuntaohjelmiston läpi. Varotoimena sellaiset viestit, jotka sisältävät Zip-pakatun liitetiedoston, jonka sisältönä on jar-tiedosto, kannattaa laittaa karanteeniin ja tarkastaa tuoreita haittaohjelmatunnisteita vastaan vielä seuraavana päivänä. Jos yrityksen työntekijöillä ei ole tarvetta vastaanottaa jar-tiedostoja, kannattaa niiden vastaanotto sähköpostilla estää kokonaan.

Lisää aiheesta

Laitteen etähallinnan mahdollistava haittaohjelma JSocket RAT leviää sähköpostin välityksellä (Tietoturva nyt! 19.1.2016)