Kiristyshaittaohjelmarintaman uusin tulokas on "Locky" -niminen tiedostot salaava kiristyshaittaohjelma. Haittaohjelmaa on levitetty ainakin laskuiksi naamioitujen haitallisten sähköpostiviestien avulla. Havaintoja haitallisista viesteistä on tehty myös Suomessa. Epäilyttäviin sähköpostiviesteihin on hyvä suhtautua varauksella ja niiden sisältämiä liitetiedostoja ei pidä avata.

Levitys ja toiminta

Locky -kiristyshaittaohjelmaa on levitetty pääasiallisesti sähköpostin liitteenä olevien Word-tiedostojen välityksellä. Tiedosto on vuorattu makroviruksella, joka avaamisen yhteydessä lataa ja käynnistää varsinaisen haittaohjelman käyttäjän huomaamatta.

Locky -kiristyshaittaohjelma on suunnattu Windows -tietokoneille ja se salaa tietokoneelta ja verkkojaoista löytämänsä tiedostot ja vaatii sen jälkeen lunnaita niiden avaamiseksi. Tällä hetkellä tiedossa ei ole tunnettuja keinoja purkaa Locky:n salaamia tiedostoja.

Suojautuminen

Ennalta varautuminen on paras keino suojautua kiristyshaittaohjelmilta. Epäilyttäviin sähköpostiviesteihin ja niiden sisältämiin liitetiedostoihin kannattaa suhtautua varauksella. Liitetiedostojen klikkaaminen miettimättä tarkemmin voi johtaa tilanteeseen, jossa organisaation toimintakyky heikkenee tai jopa keskeytyy hetkeksi, kun tärkeät tiedostot ovatkin yhtäkkiä salattu.

Organisaatioiden ylläpidossa kannattaa harkita Office-tiedostojen makrojen oletusarvoisen suorittamisen estämistä ja ohjeistaa käyttäjiä olemaan tarkkana sähköpostilla saapuvien makroja sisältävien Office-tiedostojen käsittelyssä.

Suunnitelmallinen varmuuskopioiden ottaminen on erittäin tärkeää ja toimivat prosessit tiedostojen palauttamiseksi auttavat toipumisessa ja pienentävät omalta osalta kiristyshaittaohjelmien aiheuttamaa uhkaa.

Lisätietoja / Tunnistetietoja

Esimerkki:

Otsikko on muotoa: ATTN: Invoice_J-<8-numeroa>, esim. alla
Otsikko: ATTN: Invoice J-11256978
Liite: invoice_J-11256978.doc

Esimerkki 2:

Lähettäjä: info@mpsmobile.de
Otsikko: Rechnung 2016-11365
Liite: 19875_Rechnung_2016-11365_20160215.docm

Tartunnan saaneen koneen taustakuva:

Salaa seuraavilla päätteillä olevat tiedostot:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, 

.qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz,

.rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff,

.NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm,

.pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB,

.SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam,

.docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps,

.sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm,

.xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml,

.txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt,

.key, wallet.dat

Mikäli tiedoston nimessä tai hakemistopolussa löytyy seuraava merkkijono, ei tiedostoja salata:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, 

thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

Komentopalvelimia / lataamiseen käytettyjä osoitteita:

109.234.38.35
173.214.183.81
193.124.181.169
195.154.241.208
195.64.154.14
46.4.239.76
66.133.129.5
86.104.134.144
91.195.12.185
iynus.net
www.iglobali.com
www.jesusdenazaret.com.ve
www.southlife.church
www.villaggio.airwave.at
luvenxj.uk

Komentopalvelinliikenne on esimerkiksi "domain/main.php" -osoitteeseen suuntautuva HTTP POST, johon komentopalvelin vastaa. Itse liikenne on salattua.

Aihetta käsitteleviä artikkeleita:

•  
•  
• http://researchcenter.paloaltonetworks.com/2016/02/locky-new-ransomware-mimics-dridex-style-distribution/
• http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/
• https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
• http://blog.dynamoo.com/2016/02/malware-spam-attn-invoice-j-06593788.html
•  

Wordpress-sisällönhallintajärjestelmään on julkaistu korjaus, joka paikkaa kaksi haavoittuvuutta.

Wordpress-ohjelmiston versio 4.4.2 korjaa kaksi haavoittuvuutta. Toinen haavoittuvuuksista on SSRF (Server-Side Request Forgery)-tyyppinen kohdistuen kyseiseen palvelimeen ja toinen mahdollistaa uudelleenohjauksen palvelun ulkopuoliselle sivustolle.

Haavoittuvuuksista ei ole kerrottu tarkempia tietoja tai esimerkiksi CVE-numeroita.

Ohjelmiston valmistaja suosittelee päivittämään vanhat ohjelmistot versioon 4.4.2.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• WordPress versiot ennen versiota 4.4.2

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmisto valmistajan ohjeiden mukaisesti. Ohjelmiston päivityksen voi tehdä ohjausnäkymän "Päivitykset" kohdasta. Englanninkielisissä versioissa Dashboard => Updates => Update Now. Hyödynnä automaattisia ohjelmistopäivityksiä mahdollisuuksien mukaan.

Mikäli automaattiset taustapäivitykset on otettu käyttöön päivittyy ohjelmisto automaattisesti.

Lisätietoa:

• https://wordpress.org/news/2016/02/wordpress-4-4-2-security-and-maintenance-release/

Alkuvuodesta on jälleen kalasteltu verkkorikollisten toimesta aktiivisesti suomalaisten verkkopankkitunnuksia. Uusimpina ilmiöinä on havaittu kalasteluviestejä Danske Bankin sekä poliisin nimissä. Poliisin nimissä tapahtuvaa tietojenkalastelua on levitetty tekstiviestien avulla.

Keskiviikkona 3.2.2016 alkaneeseen poliisin nimissä tapahtuvaan tietojenkalasteluun on houkuteltu uhreja tekstiviesteillä. Viestin lähettäjänä näkyy "Poliisi" ja viestissä kerrotaan jonkun yrittäneen hakea lainaa, sekä pyydetään tekemään rikosilmoitus viestissä näkyvässä osoitteessa. Viestissä olevan linkin takaa avautuu kansalaisen tunnistus- ja maksamispalvelu Vetumalta näyttävä sivusto, johon käyttäjää houkutellaan kirjautumaan verkkopankkitunnuksilla. Tekstiviestin lähettäjänä näkyvä "Poliisi" on myös väärennetty.

Kuva: Poliisin nimissä levitetyn tietojenkalastelusivun etusivu. Sivusto on tehty näyttämään kansalaisen tunnistus- ja maksamispalvelu Vetuman sivulta, mutta sen osoite on väärä ja siinä ei näy suojatun yhteyden merkkinä olevaa vihreää lukkokuvaketta.

Kuva: Poliisin nimissä levitetyn tietojenkalastelusivun linkit eri pankkien tunnistautumista varten. Tässäkin tapauksessa huijaussivun voi tunnistaa väärästä osoitteesta sekä suojatun yhteyden puuttumisesta.

Huijausviestejä myös Danske Bankin nimissä