Huolellisuus verkkoselailussa, päätelaitteen päivittämisessä ja virussuojauksessa estää liki kaikki haittaohjelmatartunnat. Jos oma päätelaite kuitenkin saastuu, se on usein vielä pelastettavissa. Tärkeää on huomata haittaohjelmatartunta nopeasti ja puhdistaa laite esimerkiksi luotettavalla virustorjuntaohjelmalla. Tässä artikkelissa päätelaitteella tarkoitetaan tietokoneita ja mobiililaitteita kuten matkapuhelimia tai tabletteja.

Ennaltaehkäisy on helpompaa kuin jälkien siivoaminen

Ohjelmistopäivitykset sisältävät usein runsaasti tietoturvaan liittyviä korjauksia. Siksi päätelaite, jonka käyttöjärjestelmä ja siinä käytetyt ohjelmistot on pidetty ajan tasalla, on turvallisempi ja vähemmän altis haittaohjelmatartunnalle kuin päivittämätön. Haittaohjelma voi tarttua päätelaitteeseen esimerkiksi www-selailun yhteydessä murretun verkkosivuston välityksellä. Tyypillisesti saastumiselle alttiissa järjestelmässä käytetään vanhentunutta selainta, käyttöjärjestelmää tai liitännäissovelluksia (muun muassa Adobe Flash Player tai Java). Myös USB-muistitikku tai sähköpostiviestin liitetiedosto voi toimia haittaohjelman välittäjänä ja tartuttaa päätelaitteen. Verkosta ladattavat ohjelmatkin voivat sisältää haitallista koodia, siksi tällaisten ohjelmien alkuperä on syytä tarkistaa.

Hyvinkin ylläpidetty päätelaite voi saada haittaohjelmatartunnan tuoreesta haavoittuvuudesta, jos esimerkiksi päätelaitteen virustorjunta ei tunnista tuoretta haittaohjelmaa tai ohjelmaan ei ole vielä päivitettyä versiota saatavilla. Päätelaitteelle pesiytynyt haittaohjelma voi saattaa laitteen käyttäjän yksityisyyden ja tiedot vaaraan. Haittaohjelma voi kerätä esimerkiksi käyttäjätunnus ja salasana -yhdistelmiä eri palveluihin kirjauduttessa (engl. keylogger) tai se voi avata laitteeseen takaoven (engl. backdoor), joka tarjoaa hyökkääjälle pääsyn käyttäjän päätelaitteelle verkon yli. Päätelaite saatetaan myös valjastaa osaksi bottiverkkoa. Tällaiseen bottiverkkoon koottuja tietokoneita voidaan käyttää esimerkiksi roskapostittamiseen tai hajautettuihin palvelunestohyökkäyksiin (engl. DDoS, Distributed Denial of Service).

Haittaohjelmatartuntojen suuri määrä kertoo niiden olevan varsin yleisiä. Valitettavan suuri osa verkon käyttäjistä saa tietokoneeseensa tai älykännykkäänsä haittaohjelman huolellisesta varautumisestaan huolimatta. Haittaohjelmien välttämiskeinojen lisäksi on myös hyvä tietää, miten haittaohjelmatartunnan voi huomata päätelaitteessaan ja miten tällaisessa tilanteessa tulee toimia.

Miten haittaohjelmatartunta havaitaan?

Jos päätelaitteen virustorjuntaohjelmisto hälyttää, se on todennäköisesti havainnut jotain vahingollista käyttäjän tiedostoissa. Virustorjunta ei kuitenkaan tunnista kaikkia haittaohjelmia. Myös päätelaitteen normaalista poikkeava toiminta voi viitata haittaohjelmatartuntaan. Seuraavat oireet herättävät epäilyksiä tartunnasta:

• itsekseen aukeavat mainosikkunat
• koneen merkittävä hidastuminen
• tunnistamattomat tai omituiset prosessit
• saat nettiliittymän palveluntarjoajalta ilmoituksen haittaohjelmahavainnosta.

Kiristyshaittaohjelmat ja tiedostot salaavat haittaohjelmat esittävät käyttäjälle kiristysilmoituksen, joka kertoo tartunnasta. Alla esimerkki CryptoLocker-haittaohjelman kiristysilmoituksesta.

Mitä tehdä, jos olet saanut haittaohjelmatartunnan?

• Älä hätäänny.
• Tarkista päätelaite ja pyri poistamaan haittaohjelma virustorjuntaohjelmiston avulla.
• Hankalasti poistettavien haittaohjelmien kanssa voidaan tarvita esimerkiksi torjuntaohjelmistojen valmistajien tarjoamia korjaus-CD:n (engl. recovery/rescue CD) tai USB:n kaltaisia apuvälineitä.
• Selvitä, onko tälle haittaohjelmalle julkaistu erityisiä poisto-ohjeita.

Hankalissa tapauksissa päätelaite on tyhjennettävä kokonaan ja käyttöjärjestelmä asennettava uudelleen (esim. itsensä piilottavat rootkit-tyyppiset haittaohjelmat). Tällöin ajantasaiset, ennen saastumista otetut varmuuskopiot ovat helppo tapa palauttaa tiedostot. Jo saastuneesta päätelaitteesta otetun varmuuskopion palauttaminen voi saastuttaa laitteen uudelleen, sillä se saattaa samalla sisältää "varmuuskopion" haittaohjelmasta! Käyttäjän tietoja salakirjoittavat haittaohjelmat tekevät tietojen siirtämisen saastuneesta järjestelmästä puhtaaseen järjestelmään mahdottomaksi. Turvallisin tapa saada haittaohjelmalla saastunut tietokone uudelleen käyttöön on alustaa levyt ja asentaa käyttöjärjestelmä uudelleen.

Muista tarkistukset!

Yleiset haittaohjelmat

Viestintäviraston Kyberturvallisuuskeskuksen Autoreporter-järjestelmä kerää jatkuvasti tietoa verkoissa liikkuvista haittaohjelmista. Elokuussa 2014 yleisimmät haittaohjelmahavainnot olivat:

• ZeroAccess
• Conficker
• Zeus
• Torpig.

Nämä ovat Windows-käyttöjärjestelmille suunnattuja niin sanottuja "troijalaisia", eli haittaohjelmia, joita kyetään räätälöimään monenlaiseen haitalliseen käyttötarkoitukseen. Alustavan tartunnan jälkeen troijalaisen avulla voidaan uhrin koneelle siirtää toinen haittaohjelma, jonka toimintaperiaate vaihtelee. Tyypillisesti troijalaisten avulla levitetään esimerkiksi salasanoja urkkivia keylogger-ohjelmia, pankkihaittaohjelmia tai valjastetaan päätelaitteita osaksi bottiverkkoa.

Suomessa, viikoilla 31 - 35, Autoreporter-järjestelmä keräsi yhteensä 5693 haittaohjelmahavaintoa, jotka jakautuivat haittaohjelmittain seuraavasti:

Näiden haittaohjelmien lisäksi käyttäjiä ovat pitkään kiusanneet kiristyshaittaohjelmat (Ransomware), jotka esittävät käyttäjälle tekaistun viranomaisilmoituksen, jossa vaaditaan sakkomaksua. Tästä ikävämpiä versioita ovat päätelaitteen tiedostoja salaavat kiristyshaittaohjelmat, jotka vaativat lunnasrahoja tiedostojen avaamiseksi. Osa kiristyshaittaohjelmista toimii ainoastaan selaimessa, eivätkä ne saastuta tietokonetta. Näiltä voi suojautua esimerkiksi asentamalla selaimeensa liitännäisen (mm. ScriptBlock, NoScript), joka estää JavaScript-ohjelmakoodin ajamisen muilla kuin erikseen hyväksytyillä sivustoilla. Mainostenestoliitännäisten (mm. AdBlock) avulla voi suojautua mainosverkkojen ylitse levitettäviltä haittaohjelmilta.

Lisätietoja:

• Ransomware
• Tiedostoja salaavat haittaohjelmat mm. Cryptolocker, Cryptowall
• Huijaavat sovellukset
• Ohje 1/2012 Kiristyshaittaohjelman poistamisesta koneelta

ICT-Palvelut tarjoaa monipuoliset ja luotettavat varmuuskopiointiratkaisut sekä kaikkiin laitteisiin soveltuvat haittaohjelmien ja virusten poistotyökalut. Kysy lisää myynnistämme.

Liikkeellä on haittaohjelma, joka aktivoituu op.fi-palveluun kirjautumisen yhteydessä. Haittaohjelman avulla rikolliset yrittävät kalastella verkkopalvelutunnuksia ja henkilötietoja. Haittaohjelma on voinut tallentua käyttämällesi laitteelle esimerkiksi tiedostojen lataamisen yhteydessä, sähköpostin liitetiedostojen kautta tai saastuneilta verkkosivustoilta. Älä käytä saastunutta laitetta pankkiasiointiin ennen kuin olet puhdistanut laitteen ja varmistunut, että laitteellasi ei ole haittaohjelmia.

Jos OP-verkkopalvelussa asioidessasi tapahtuu jotakin normaalista poikkeavaa esim.:

• saat op.fi-palveluun kirjautuessasi normaalista poikkeavan ilmoituksen (esim. alla olevan kuvan kaltaisen ilmoituksen),

• saat maksun lisävahvistuksen tekstiviestin suorituksesta, jota et ole itse tehnyt,

• epäilet, että verkkopalvelutunnuksesi ovat joutuneet vääriin käsiin,

kirjaudu välittömästi ulos OP-verkkopalvelusta ja ilmoita tapahtuneesta OP 0100 0500 puhelinpalveluun (arkisin kello 8-18, pvm/mpm). Puhelinpalvelun palveluajan ulkopuolella sulje verkkopalvelutunnuksesi soittamalla tunnusten sulkupalveluun +358 9 6964 6800 (24 h/vrk). Ilmoita tapahtuneesta myös puhelinpalveluun sen avauduttua.

Esimerkki haittaohjelmanäkymästä: 

Shellshock-haavoittuvuus käsittää tällä hetkellä kuusi yksilöityä haavoittuvuutta. Tilanne kehittyy jatkuvasti, joten mahdollisia uusia päivityksiä kannattaa seurata aktiivisesti.

Keskiviikkona 24.9. julkisuuteen tullut Shellshock-nimellä tunnettu haavoittuvuus käsittää tällä hetkellä kuusi yksilöityä haavoittuvuutta (CVE). Uusia haavoittuvuuksia on löytynyt, kun Bash-komentotulkkia on tutkittu aktiivisesti ensimmäisen haavoittuvuuden löytymisen jälkeen. Myös haavoittuvuuksien hyväksikäyttöön on vapaasti saatavissa monia eri menetelmiä. Bash-komentotulkki on saanut useita korjauksia uusien haavoittuvuuslöydösten myötä, ja tällä hetkellä sen tuorein yleisessä jakelussa oleva versio on viikonlopulta. On mahdollista että haavoittuvuuksia löytyy edelleen, joten uusia päivityksiä kannattaa seurata aktiivisesti.

Kahdelle uusimmalle haavoittuvuudelle on annettu yksilöivä CVE-tunnus, mutta niiden sisältö on pidetty toistaiseksi salaisena haavoittuvuuskoordinoinnin vuoksi. Vielä ei ole tiedossa korjaako viikonloppuna julkaistu Bash-päivitys myös nämä haavoittuvuudet, mutta luultavasti se ainakin estää niiden hyväksikäytön useimmissa tilanteissa.

Maailmalla Shellshock-haavoittuvuutta on hyväksikäytetty aktiivisesti. Sen avulla on esimerkiksi levitetty haittaohjelmia, asennettu takaportteja ja valjastettu suuria määriä tietokoneita palvelunestohyökkäyksiä tekeviksi bottiverkoiksi. Kyberturvallisuuskeskuksella ei kuitenkaan ole tietoja onnistuneesta haavoittuvuuden hyväksikäytöstä Suomessa, mutta sen sijaan hyökkäysyrityksistä on runsaasti havaintoja.

Kyberturvallisuuskeskus on koonnut haavoittuvan Bash-komentotulkin sisältävien ohjelmisto- ja laitetoimittajien julkaisemat tiedotteet haavoittuvuustiedotteeseen. Haavoittuvuustiedotetta päivitetään, jos uusia Shellshockille alttiita laitteita ilmenee.

Lisätietoja:

Varoitus 02/2014

Haavoittuvuus 106/2014

Tietoturva nyt! 29.9. Ohje Shellshock-haavoittuvuuden testaamiseen Ubuntu-käyttöjärjestelmillä

Tietoturva nyt! 25.9. Shellshock-haavoittuvuutta hyödynnetään aktiivisesti 

Päivityshistoria

01.10.2014 klo 17:20