Viestintäviraston Kyberturvallisuuskeskuksen tietoon on tullut useita kiristyshaittaohjelma CTB-Lockerin tartuntatapauksia Suomesta. Pahimmillaan myös jaettujen verkkolevyjen tiedostot on salattu. Kyberturvallisuuskeskus muistuttaa ajantaisista varmuuskopioista, neuvoo tarkistamaan levyjakojen kirjoitusoikeudet ja kehottaa välttämään epämääräisten viestien availua. Lunnaiden maksaminen ei takaa tiedostojen avaamista.

Kyberturvallisuuskeskukselle on viime päivinä tullut useita ilmoituksia kiristyshaittaohjelma CTB-Lockerin tartuntatapauksista Suomessa. Edellisen kerran Kyberturvallisuuskeskus tiedotti haittaohjelmasta 21.1.2014 Tietoturva nyt! -artikkelilla, kun siitä tehtiin Suomessa ensihavaintoja.

Haittaohjelmakampanja jatkuu yhä kiihtyvällä tahdilla. Kyberturvallisuuskeskuksen tietojen mukaan ajantasainenkaan tietoturvaohjelmisto ei kaikissa tapauksissa riitä suojaamaan haittaohjelma tartunnalta.

Esimerkki sähköpostiviestistä

Esimerkki tuoreesta CTB-Lockeria levittäneestä sähköpostiviestistä:

-----------

Aihe: Fax2mail M12ME6F5C4541

Liite: sanofi_pasteur_msd_ltd201.zip

No.: +07844100414

Date: 2015.01.18 14:39:10 CST

Pages: 7

Reference number: M12ME6F5C4541

Filename: sanofi_pasteur_msd_ltd201.zip

- --

Sanofi Pasteur MSD Ltd

Glinda Hormell

- -----------

Haittaohjelman levitys ja tartunta

Kiristyshaittaohjelmaa on levitetty useilla eri sisältöisillä sähköpostiviesteillä. Yksi tyypillinen viestin aihe on ollut ilmoitus saapuneesta faxista, josta esimerkki edellä. Eräässä tapauksessa liitetiedoston nimi muodostui vastaanottajan sähköpostiosoitteesta.

Itse haittaohjelmaa on tyypillisesti levitetty sähköpostiviestin liitteenä olevan pakatun zip-päätteisen tiedoston sisällä. Varsinainen haittaohjelma on usein ollut scr-päätteinen, joka avautuu Word- tai Wordpad-ohjelmalla. Näitä viestejä on viime päivinä havaittu sadoittain suomalaisissa organisaatioissa. Myös muita tiedostopäätteitä on tunnistettu haittaohjelman levityksessä. Koska liitetiedostojen nimet, lähettäjän osoite ja viestin sisältö vaihtelevat suuresti, epämääräisten viestien ja liitetiedostojen avaamista tulee välttää.

Onnistuneessa tartunnassa kiristyshaittaohjelma lukitsee koneen tiedostot salakirjoituksella ja vaatii maksettavaksi lunnasrahoja tiedostojen avaamiseksi. Pahimmillaan myös jaettujen verkkolevyjen tiedostot on salattu, jolloin myös siellä säilytetyt varmuuskopiot voivat tulla lukituksi.

Ennaltaehkäisy

• Epämääräisten viestien ja erityisesti liitetiedostojen avaamisen välttäminen
• Ajantasaisten varmuuskopioiden ylläpitäminen ja erillään säilyttäminen
• Organisaatioissa verkon käyttäjien tiedottaminen uhasta voi lisätä huomiota ja vähentää tartuntatapuksia
• Levyjakojen kirjoitusoikeuksien kaventaminen voi lieventää tartunnan leviämistä organisaation verkossa jaetuissa tiedostoissa

Suosittelemme vahvasti organisaatioita tiedottamaan omia käyttäjiään välttämään tuntemattomista osoitteista tulleiden epäilyttävien sähköpostiviestien liitetiedostojen avaamista. Ajantasainenkaan tietoturvaohjelmisto ei välttämättä kaikissa tapauksissa tunnista haittaohjelmaa.

Salauksen poistaminen

CTB-Lockerin tuoreimpien versioiden käyttämää salausta ei voi purkaa ilman salaukseen käytettyä privaattiavainta. Kyberturvallisuuskeskus ei suosittele lunnaiden maksua tämän privaattiavaimen saamiseksi. Takeita ei ole, että avaimen saa tai että se avaa tiedostot onnistuneesti.

Lisätietoja:

• 21.1.2014 Tietoturva nyt! -artikkeli
• Kattava tietopaketti CBT-Locker kiristyshaittaohjelmasta: http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information