Kiristyshaittaohjelma

Kiristyshaittaohjelma eli ransomware on tietokoneelle tai mobiililaitteelle iskev? viruksen tyyppinen ongelma, joka voi korruptoida tiedostoja, henkil?kohtaisia tietoja, ja paljon muuta. Opi kaikki tarvittava kiristyshaittaohjelmista t?st? artikkelista.

Mik? on kiristyshaittaohjelma?

Internetin laajentumisen my?t? my?s erityyppisi? haittaohjelmia on ilmestynyt monenlaisia, ja yksi niist? on kiristyshaittaohjelma. Ransomware on haittaohjelma, joka p??stess??n koneellesi tai mobiililaitteeseen salaa kaikki ty?asemilla ja palvelimilla olevat tiedostot. N?in ollen menet?t itse p??syn kaikkiin saastuneisiin tiedostoihin ja tietoihin, ja ilman p??sy? niihin esimerkiksi yrityksesi on eritt?in haavoittuvassa asemassa.

Usein kiristyshaittaohjelmiin liittyy nimens? mukaisesti kiristyksen elementti, eli saadakseen k?ytt?oikeudet menetettyihin tiedostoihin takaisin, yksityishenkil?n tai yrityksen on maksettava haittaohjelman tekij?n vaatimat lunnaat, jonka j?lkeen parhaassa tapaukset lukitut tiedot palautetaan. T?st? ei kuitenkaan koskaan ole takeita. Kiristyshaittaohjelmat ovat tuhoisa kyberhy?kk?yksien muoto, jotka voivat uhata yrityksesi elinkelpoisuutta.

Kuinka Ransomware saastuttaa j?rjestelmi?

Kiristyshaittaohjelma voi p??st? tietokoneelle k?ytt?m?ll? yht? n?ist? yleisist? v?ylist?.

• Musiikin ja elokuvien laiton lataaminen. Usein laittomat lataukset sis?lt?v?t haittaohjelmia.
• Tietojenkalasteluviestit. Huijauss?hk?postit, jotka yritt?v?t houkutella uhrin klikkaamaan itsens? vilpilliselle verkkosivustolle tai avaamaan haitallisen tartunnan saaneen liitteen.
• Yrityksen suoja-alueen heikkouksien hy?dynt?minen. Esimerkiksi Remote Desktop Protocol (RDP) on teknologia, jonka avulla yrityksen henkil?kunta voi k?ytt?? toimiston ohjelmia ty?ntekoon silloin, kun he tekev?t t?it? kotoa k?sin tai tien p??ll?. RDP:n toteutuksessa on havaittu haavoittuvuuksia aiemmin. Kun n?it? haavoittuvuuksia on hy?dynnetty tietyll? tavalla, niit? on voitu k?ytt?? kiristysohjelmien levitt?miseen.

Ongelman koko

Erityisesti edell? mainittujen RDP-haavoittuvuuksien hy?dynt?minen on yksi tekniikoista, joita tunnettu NotPetya kiristyshaittaohjelma k?ytt??. NotPetya on luultavasti maailmanlaajuisesti haitallisin esimerkki kiristysohjelmista, joita on t?h?n menness? n?hty. Vuonna 2017 se lamautti yrityksi? kaikkialla maailmassa alkaen pk-yrityksist? aina j?ttiyrityksiin asti.

A. P. Moeller-Maersk on maailman suurin konttilaiva- ja toimitusalusten valmistaja. Lis?ksi yrityksen palveluihin kuuluu toimitusketjun hallinta, satamien k?ytt? ja ?ljynporaus. Mutta 27. kes?kuuta 2017 yritys menetti toimintakykyns? noin nelj?ksi tunniksi 130 maassa kiristyshaittaohjelman vuoksi. Maersk ei maksanut lunnaita. Heill? oli varaa ottaa k?ytt??n uusia kannettavia tietokoneita, palvelimia ja IP-pohjaisia puhelinj?rjestelmi? rakentaakseen j?rjestelm?ns? uudelleen.

Lopullinen haittaohjelman hintalappu yritykselle oli yli 300 miljoonaa euroa.

Norsk Hydro menetti k?yt?nn?ss? kaiken kykyns? valmistaa alumiinia LockerGogo -kiristyshaittaohjelmatartunnan vuoksi. My?s t?m? yritys kielt?ytyi maksamasta lunnaita, mutta joutui kuitenkin maksamaan yli 40 miljoonan dollarin laskun. My?s espanjalainen ruokaj?tti Mondelez k?rsi NotPetyasta vuonna 2017, ja se k?rsi 100 miljoonan dollarin tappiot ja vahingot.

On syyt? mainita, ett? yrityksille suunnattu kybervakuutus on suunniteltu kattamaan tietoturvahy?kk?ysten k?sittelykulut, kuten tapausten k?sittelyyn erikoistuneiden tiimien kutsuminen paikalle, laitteiston vaihtaminen, vaarantuneiden j?rjestelmien puhdistaminen, median k?sittely ja vihjelinjojen k?ytt?minen asianomaisille rekister?idyille. Ne eiv?t yleens? kuitenkaan kata kaupank?ynnin menett?misest? aiheutuneita vahinkoja.

Kiristyshaittaohjelma vai kybersota?

Jos kiristyshaittaohjelma aiheuttaa yritykselle suuria kustannuksia, ja tapaus luokitellaan “kybersodank?ynniksi”, vakuutuksen antajat voivat k?ytt?? “sotatoimia” syyn? olla maksamatta yritykselle korvauksia.

Iso-Britannia, Yhdysvallat, Australia ja Kanada ovat kaikki tutkineet NotPetyan l?hdekoodin ja todenneet sen olevan l?ht?isin Ven?j?n federaation puolustusvoimien p??esikunnan p??osastolta (GU), eli Ven?j?n federaation tiedustelupalvelulta.

Edell? olevat suure yritykset ovat suurten otsikoiden arvoisia uhreja. Mutta niiden lis?ksi NotPetya vaikutti my?s lukemattomiin pieniin ja keskisuuriin yrityksiin, pieniin organisaatioihin ja yrityskokonaisuuksiin.

KeRanger lunnasohjelma oli sen sijaan ensimm?inen laatuaan, joka oli erityisesti suunniteltu hy?kk??m??n Mac-tietokoneisiin. Se julkaistiin vuonna 2016. My?s mobiililaitteet ja matkapuhelimet olivat vaarassa. Kiristysohjelma lukitsee laitteen k?ytt?j?n kokonaan ulos laitteesta eik? p??st? takaisin sis??n ennen kuin lunnaat on maksettu.

Useimmat matkapuhelinten tartunnat ovat seurausta haitallisten sovellusten asentamisesta.

Mit? Ransomware tekee?

Jokainen kiristyshaittaohjelma aiheuttaa (tai j?ljittelee) ongelman ja vaatii maksua ongelman poistamiseksi. Kuten kaikkien haittaohjelmien kohdalla, kiristyshaittaohjelmat toimivat eri tasoilla. N?it? tasoja ovat seuraavat:

Scareware

Scareware-ohjelmalla n?ytt??n tulee viesti, joka ilmoittaa, ett? tietokoneessasi on jotain vikaa, se on saastunut tai hakkerit ovat murtautuneet tietokoneellesi. Sinulle kerrotaan, ett? ongelman korjaamiseksi sinun on maksettava lunnaat, ja ett? jos teet niin, tietokone puhdistetaan ja hakkerit j?tt?v?t sinut rauhaan. Joskus n?m? viestit on naamioitu IT- tai teknisen tukipaketin muotoon tai jopa Microsoftin tueksi.

T?m?ntyyppinen hy?kk?ys ei vaikuta tiedostoihisi. Jos tietokone skannataan viruksista ja puhdistetaan ponnahdusviestin poistamiseksi, se palaa normaaliin toimintaan.

N?yt?nlukitsija

T?m?ntyyppinen kiristyshaittaohjelma avaa koko n?yt?n kokoisen ikkunan, jota et voi ohittaa etk? sulkea. Sen n?ytt?m? viesti on usein muunnelma joistakin n?ist? yleisist? teemoista:

1. Sinuun on kohdistunut lunnasohjelma, maksa lunnaat. Helppo ja yksinkertainen.
2. Suojelupoliisi tai muu lainvalvontaviranomainen on havainnut tietokoneeltasi laittomia latauksia, piraattiohjelmistoja, rikollista pornografiaa jne. Maksa sakko palauttaaksesi koneen toimintakuntoon.

T?llaisissa tilanteissa t?ytyy aina huomata, ett? jos jokin n?ist? olisi totta, noudatettaisiin niiss? asianmukaista menettely?, eli yhteydenotto tulisi jotakin muuta, virallisempaa kautta – ei n?yt?n lukitsevan viestin kautta.

Salauksen murtava kiristyshaittaohjelma

T?m? on todellinen uhka. T?m?n tyyppinen kiristyshaittaohjelma todella salaa tiedostosi pois ulottuviltasi. Usein ne voivat piilotella koneellasi viikkoja ennen niiden laukaisua varmistaakseen, ett? ne voivat saastuttaa mahdollisimman monta tietokonetta. Ne odottavat, kunnes et?n? toimiva henkil?kunta on todenn?k?isesti k?ynyt p??konttorissa, jotta my?s n?m? kannettavat tietokoneet voivat saada tartunnan.

T?m? tarkoittaa usein sit?, ett? lunnasohjelmat on sis?llytetty varmuuskopioihisi. Eli jos yritys p??tt?? rakentaa j?rjestelm?t uudelleen lunnaiden maksamisen sijaan, tartunta siirtyy tietojen mukana. N?in ollen haittaohjelma k?ynnistyy uudelleen muutaman viikon kuluttua.

Yleisesti t?m? teknologia toimii niin, ett? kiristysohjelma ker?? tietoa ja l?hett?? ne takaisin komento- ja ohjauspalvelimille. Se raportoi takaisin tukikohtaan, vastaanottaa uudet ohjeet palvelimen automatisoidulta ohjelmistolta ja toimii n?iden ohjeiden mukaan. T?m? sykli toistuu.

On kuitenkin ollut muutamia tapauksia, joissa et?n? toimiva teko?ly ei ollut komento- ja ohjauspalvelin, vaan ihminen. T?m? henkil? ohjasi haittaohjelmaa, kuten et?dronea, ja varmisti viikkojen ajan, ett? se saastuttaa kaiken IT-infrastruktuurin, paikalliset varmuuskopiot ja ulkopuoliset varmuuskopiot ennen hy?kk?yksen k?ynnist?mist?.

Kiristyshaittaohjelma – Ketk? ovat yleisimm?t kohteet?

Kiristyshaittaohjelma voidaan kohdistaa suoraan tietyille uhreille, tai ne ovat satunnaisia tartuntoja, jotka ovat per?isin miljooniin s?hk?postiosoitteisiin l?hetetyist? tietojenkalastelu s?hk?postiviesteist? tartuttaakseen mahdollisimman monta uhria.

1. Vuoden 2019 hy?kk?ykset Yhdysvalloissa kaupunkien, kuten Baltimore, Riviera Beach, Florida, Wilmer, Texas ja New Bedford keskeisi? palveluita vastaan oli kohdistettu tarkkaan, ja ne oli suunniteltu mahdollisimman vaikuttaviksi.
2. Sairaalat ovat usein kohteena, koska kun kyse on el?m?st? ja kuolemasta, j?rjestelm?t on palautettava toimintakuntoon mahdollisimman nopeasti keinolla mill? hyv?ns?. Sairaalat maksavatkin usein lunnaat.
3. Toinen yleisesti kohteena oleva ala on rahoitussektori, yksinkertaisesti siksi, ett? siell? on varaa valtavien lunnaiden maksamiseen.

Useimmat hy?kk?ykset osuvat kuitenkin uhreihin, joiden olemassaolosta haittaohjelmien kehitt?j?t eiv?t edes tied? – kunnes kiristysohjelma laukeaa.

Kuinka suojautua kiristysohjelmilta

Kiristyshaittaohjelma voi h?irit? yritysten lis?ksi yksityishenkil?iden el?m??, kuten huomasimme Vastaamon tietomurron tapauksessa. Niilt? v?lttyminen vaatii n?iden vaiheiden ja kyberturvallisuuden parhaiden k?yt?nt?jen k?ytt??nottoa ja noudattamista yleisesti:

• Pid? kaikki ty?asemasi, kannettavasi ja palvelinten k?ytt?j?rjestelm?si p?ivitettyin? ja ajan tasalla. T?m? v?hent?? j?rjestelmiss?si olevien haavoittuvuuksien m??r??. Mit? v?hemm?n haavoittuvuuksia, sit? v?hemm?n mahdollisia hyv?ksik?ytt?j?.
• ?l? k?yt? j?rjestelm?nvalvojan oikeuksia mihink??n muuhun kuin hallintaan. ?l? my?sk??n anna ohjelmille ja prosesseille j?rjestelm?nvalvojan oikeuksia.
• Asenna keskitetysti hallittu p??tepisteen suojausohjelmisto, joka sis?lt?? virus- ja haittaohjelmien torjuntatoiminnot, ja pid? se ajan tasalla. Varmista, ett? k?ytt?j?t eiv?t voi kielt?yty? allekirjoitusten tai kaksivaiheisen todennuksen p?ivityksist? tai lyk?t? niit?.
• Tee usein varmuuskopioita eri v?lineille, mukaan lukien varmuuskopiot ulkopuolelta. T?m? ei est? tartuntaa, mutta auttaa niist? toipumisessa. Testaa varmuuskopiot s??nn?llisesti.
• Luo palautussuunnitelma parantaaksesi yrityksesi toimintakyky?, jos kiristyshaittaohjelma kohtaa sinut.
• Luo kybertapahtumien k?sittelyk?yt?nt? ja harjoittele sit?.
• J?rjest? henkil?st?llesi kyberturvallisuuskoulutusta. Jos he l?yt?v?t tuntemattoman muistitikun parkkipaikalta lounasaikaan, aikovatko he kytke? sen johonkin tietokoneeseesi heti lounaan j?lkeen? Tiet?v?tk? he olla avaamatta ei-toivottuja s?hk?postin liitteit?? Ty?skentelev?tk? he varovaisesti, ja n?in edist?v?t yrityksen kyberturvallisuutta?

Pit?isik? lunnaat maksaa?

Useimmat kyberturvallisuuteen osallistuvat lainvalvontaviranomaiset ja valtion virastot neuvovat kiristyshaittaohjelma hy?kk?yksen kohteeksi joutuvia olemaan maksamatta lunnaita ja kehottavat ilmoittamaan hy?kk?yksest?. Lunnaiden maksaminen tarkoittaa, ett? uhkatekij?it? rohkaistaan jatkamaan hy?kk?yksi?. Jos kukaan ei maksa heille, teorian mukaan lunnasohjelmat ovat turhia ja kuolevat pikkuhiljaa pois.

Kun verrataan lunnaiden kustannuksia lunnaiden maksamatta j?tt?miseen liittyviin kustannuksiin, p??t?sten tekeminen nopeasti on kuitenkin haastavaa. On otettava huomioon laitteiden puhdistamisen tai vaihtamisen, toimialaj?rjestelmien uudelleenrakentamisen ja palauttamisen kokonaishinta sek? tulojen menetys.

Harvalla organisaatiolla on taloudellista vaikutusvaltaa kest?? edell? mainitun Maerskin tyyppinen hy?kk?ys. Joskus my?s mainevaurioiden pelko – ja hinta – pakottaa yritykset maksamaan lunnaat. Halutaan suojella asemaa asiakkaiden ja laajemman markkinapaikan silmiss? asettamalla lyhyt k?ytt?katko ja vetoamalla teknisiin ongelmiin haittaohjelman selvitt?misen ajaksi.

Loppujen lopuksi koskaan ei ole takeita siit?, ett? jos lunnaat maksetaan, niin lukitut tai varastetut tiedot saadaan takaisin. On olemassa arvioita, joiden mukaan 65 prosenttia ransomware-hy?kk?yksist? ei raportoida, ja lunnaat maksetaan. Esimerkiksi 5 miljoonan dollarin lunnaat voidaan n?hd? kohtuuhintaisina keskisuurille yritykselle, ja halvempina kuin kustannukset, jotka liittyv?t lunnaiden maksamatta j?tt?miseen.

Voiko varastettuja tietoja saada takaisin?

Arvioiden mukaan 65–70 prosentissa tapauksista tietojen salaus puretaan onnistuneesti sen j?lkeen, kun lunnaat on maksettu. Joskus salauksen purkurutiineja ei kuitenkaan ole edes olemassa, jolloin rikolliset ottavat rahat ja juoksevat. T?m? on kuitenkin sin?ll??n lyhytkestoinen ja kertaluontoinen huijaus.

Jos hy?kk?yksen kohteelle kerrotaan, ett? se ei saa varastettuja tietoja takaisin, lunnaiden maksamiseen ei ole mit??n syyt?, sill? kohteet on menetetty. Siksi on taloudellisesti j?rkev??, ett? rikolliset purkavat uhrien tiedostojen salauksen ja palauttavat tiedot aina kun voivat.

Joskus voi kuitenkin k?yd? niinkin, ett? salauksen purkuohjelmat eiv?t yksinkertaisesti toimi. Kaikki ohjelmistot ovat alttiita virheille. Hy?kk??j?t k?ytt?v?t enemm?n kehitysaikaa ja vaivaa tartunta-, replikointi- ja salausrutiineihin kuin salauksen purkurutiineihin. Ei ole aina heist? kiinni, toimiiko kaikki niin kuin pit?isi.

Loppupeleiss? aina on helppo huudella, ett? ?l? miss??n nimess? maksa lunnaita, mutta riippuen esimerkiksi yrityksen alasta ja koosta, lunnaiden maksaminen voi joskus olla se j?rkevin vaihtoehto. Mutta kuten aina, ennaltaehk?isy on se halvin ja pisimm?lle kantava strategia, mink? vuoksi virustorjuntaohjelmista ja palomuureista kannattaa pit?? huolta.