PIKAOPAS KIRISTYSHAITTAOHJELMIEN TORJUMISEEN

Yrityksiä piinaava Crypto-kiristyshaittaohjelma on ollut viime aikoina yksi tietoturva-alan suurista puheenaiheista. Lue tästä, miten kyseinen haittaohjelma toimii ja kuinka voit suojata organisaatiosi siltä.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: kesäkuu 14, 2016
Lukuaika: 4 Minuuttia

Vuoden 2015 lopulla tietoturva-asiantuntijamme Sean Sullivan ennusti, että vuodesta 2016 tulee kiristysohjelmien vuosi. Tähän saakka hän on ollut aivan oikeassa. Kaiken kokoisia yrityksiä piinaava Crypto-kiristyshaittaohjelma on ollut viime kuukausina yksi tietoturva-alan suurista puheenaiheista. Monilla yrityksillä ei ole ollut muuta vaihtoehtoa kuin maksaa haittaohjelman vaatimat lunnaat. Lunnaiden maksaminen saattaa palauttaa yrityksen tietokoneet takaisin käyttöön, mutta se myös kannustaa kyberrikollisia laajentamaan laitonta toimintaansa.

Olemme laatineet avuksesi tämän pikaoppaan, joka kertoo, miten kyseinen haittaohjelma toimii ja kuinka voit suojata organisaatiosi siltä.

Mitä kiristyshaittaohjelmat tekevät?

Crypto-kiristyshaittaohjelma salaa tietokoneella olevat tiedostot sekoittamalla niiden sisällön, jolloin käyttäjä ei voi enää käyttää tiedostoja ilman oikeaa salauksen purkuavainta. Purkuavaimen saamiseksi käyttäjän on maksettava lunnasmaksu. Kun haittaohjelma on päässyt tietokoneeseen, se voi levitä myös muihin verkossa oleviin tietokoneisiin ja estää siten yritystä toimimasta normaalisti.

Lunnasmaksu pyydetään yleensä Bitcoineina – se on virtuaalinen valuutta, jonka jäljittäminen on vaikeaa. Hyökkääjä asettaa yleensä maksulle eräpäivän. Eräpäivän jälkeen hyökkääjä korottaa yleensä summaa ja asettaa maksulle uuden eräpäivän. Jos maksua ei suoriteta toiseen eräpäivään mennessä, hyökkääjä todennäköisesti tuhoaa koko purkuavaimen. Kun purkuavain on tuhottu, tietojen palauttaminen saattaa olla mahdotonta.

Miten kiristyshaittaohjelma pääsee tietokoneeseen?

Käyttäjät voivat kohdata kiristyshaittaohjelmia monilla eri tavoilla. Yleisin tartuntatapa on sähköpostiviestissä olevan liitteen kautta. Tiedosto on yleensä naamioitu tärkeää tai haluttua tietoa sisältäväksi asiakirjaksi tai harhaanjohtavalla tavalla nimetyksi ZIP-tiedostoksi tai muuksi pakatuksi tiedostoksi. Näin käyttäjää yritetään harhauttaa avaamaan liite ja suorittamaan haitallinen tiedosto. Liitetiedostojen lisäksi kiristyshaittaohjelmia voidaan levittää sähköpostilla myös linkkien kautta (lue lisää seuraavasta kappaleesta).

Hyökkääjät levittävät kiristyshaittaohjelmia myös exploit kit –hyökkäystyökalujen avulla. Käyttäjät voivat altistua hyökkäystyökaluille vieraillessaan tartunnan saaneilla sivustoilla tai jos heidät uudelleenohjataan haitallisille sivustoille (esimerkiksi sähköpostissa lähetettävän linkin kautta). Hyökkäystyökalu tutkii, onko käyttäjän tietokoneessa haavoittuvuuksia tai hyväksikäytettäviä heikkouksia, joita löytyy usein vanhentuneista ohjelmistoista. Löydettyään haavoittuvuuden Hyökkäystyökalu lataa ja asentaa kiristyshaittaohjelman käyttäjän tietokoneelle. Tavallinen tietokoneen käyttäjä ei välttämättä huomaa lainkaan ohjelman asennusta.

Miten se vaikuttaa yrityksen toimintaan?

Lunnasmaksu on yleensä 300–500 dollaria yhtä tietokonetta kohden. Jos yrityksellä on 20 tartunnan saanutta tietokonetta, summa voi olla jopa 10 000 dollaria. Kiristyshaittaohjelmia laativat hyökkääjät voivat myös kohdistaa hyökkäyksiä tiettyihin yrityksiin ja vaatia niiltä suurempia summia. (Lue lisää Crypto-kiristyshaittaohjelman tuloutustavoista tästä F-Secure Labs -blogikirjoituksesta.)

Vaadittu rahasumma on kuitenkin vain murto-osa todellisista kustannuksista. Todellinen vahinko syntyy verkon käyttökatkoksesta (tuotannon katkeaminen, menetetyt liiketoimintamahdollisuudet, asiakastyytyväisyyden heikentyminen ja brändin uskottavuuden heikentyminen) ja verkon palauttamisen kustannuksista (hyökkäykseen vastaamiseen tarvittavat resurssit sekä järjestelmien korjaaminen tai vaihtaminen).

Miten voit saada tiedostosi takaisin?

F-Secure suosittelee, että lunnaita ei makseta. Vaikka lunnaiden maksaminen saattaisi palauttaa järjestelmän takaisin käyttöön, parempi tapa on suojautua ennalta ehkäisevällä tavalla ja tehdä säännöllisesti varmuuskopiot tiedostoista. Näin hyökkäys ei pääse aiheuttamaan suurta haittaa, sillä voit palauttaa varmuuskopioidut tiedostot. Jos kaikki yritykset huolehtisivat töidensä varmuuskopioinnista, rikolliset eivät enää käyttäisi kiristyshaittaohjelmia, sillä se ei olisi enää rahallisesti kannattavaa. Jos tietokoneesi on saanut kiristyshaittaohjelmatartunnan eikä sinulla ole varmuuskopioita, voit tarkistaa, onko kyseistä kiristyshaittaohjelmaa varten saatavilla salauksen purkamistyökalua. Tämä luettelo on hyvä lähtökohta, vaikkakin salauksen purkamistyökaluja on yleensä saatavilla vain varhaisia haittaohjelmaversioita varten. Muista myös, että hyökkääjät päivittävät kiristyshaittaohjelmiaan, jotta niihin ei olisi saatavilla salauksen purkamistyökalua.

Voit myös etsiä ohjeita tukifoorumeilta, kuten Bleeping Computerista, jossa on erilliset keskustelualueet Locky-TeslaCrypt-CryptoWall-Petya-, CryptXXX- ja Locker-kiristyshaittaohjelmille – sekä myös monille muille.

Miten voit suojata yrityksesi kiristyshaittaohjelmilta?

Ennaltaehkäisy on ehdottomasti paras tapa suojautua kiristyshaittaohjelmilta. Toimimalla ennakoivasti ja välttämällä kiristyshaittaohjelmien hyökkäykset olet jo melko vahvoilla. Tässä on joitakin vinkkejä yrityksesi suojaamiseksi:

  • Varmuuskopioi organisaatiositiedot säännöllisesti. Säilytä varmuuskopiot verkon ulkopuolella, jotta haittaohjelmat eivät pääse niihin käsiksi. Testaa myös varmuuskopioiden palautus säännöllisesti, jotta ne toimivat varmasti oikein. Hyvät varmuuskopiot auttavat sinua palauttamaan tiedot nopeasti hyökkäyksen jälkeen maksamatta lunnaita rikollisille.
  • Varmista, että käytössä on tehokas tietoturvaratkaisu,joka kattaa kaikki päätelaitteet ja suojaa järjestelmäsi monitasoisesti. F-Secure Protection Service for Business on monitasoinen tietoturvaratkaisu, joka suojaa organisaatiosi kaikilta tunnetuilta kiristyshaittaohjelmilta ja pystyy torjumaan myös aivan uudet zero day -uhkat. Se on tärkeää, sillä uusia kiristyshaittaohjelmia kohdataan jatkuvasti.
  • Pidä kaikkien päätelaitteidesi ohjelmat ajan tasallahaavoittuvuuksien estämiseksi. Automaattinen korjauspäivitysten asennusratkaisu, kuten F-Secure Software Updater (sisältyy Protection Service for Business -toimitukseen), tekee siitä helppoa.
  • Kouluta työntekijäsitunnistamaan kiristyshaittaohjelmien levittämiseen käytettävät taktiikat. Opasta heitä varovaisuuteen sähköpostiliitteiden ja -linkkien kanssa – erityisesti tuntemattomilta lähettäjiltä. Varmista, että he tuntevat roolinsa yrityksen tietojen suojaamisessa.
  • Rajoita selaimien lisäosien käyttöä. Poista käytöstä tarpeettomat ja yleisesti haavoittuvaiset lisäosat, kuten Flash Player ja Silverlight.
  • Hallitse pääsyoikeuksia. Rajoita järjestelmänvalvojan pääsyoikeudet vain niille käyttäjille, jotka niitä todella tarvitsevat, ja opasta järjestelmänvalvojia käyttämään oikeuksia vain tarpeen mukaan. Myös tiedostojen, hakemistojen ja verkon jakamisoikeudet on määritettävä siten, että käyttäjillä on vain heidän tarvitsemansa pääsyoikeudet – joillekin käyttäjille riittää pelkästään tiedostojen katseluoikeudet eivätkä he tarvitse kirjoitusoikeuksia.
  • Hallitse sovellusasetuksia,jotta ohjelmia ei voida suorittaa yleisistä kiristyshaittaohjelmien suosimista paikoista (kuten yleisten verkkoselaimien tilapäistiedostokansioista). Määritä myös sallittujen ohjelmien luettelo, joka sisältää tunnetut ja hyväksytyt ohjelmat.
  • Luokittele ja erottele tiedot.Rajoita sivusuuntaista liikkumista verkossa erottamalla eri liiketoimintayksiköiden verkot ja tiedot.
  • Poista käytöstä makrokomentosarjatsähköpostiliitteenä vastaanotetuista Office-tiedostoista.
  • Käytä sähköpostin suodatuksen yhdyskäytävääja määritä se estämään suoritettavat liitetiedostot.

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s