Kiristyshaittaohjelma TeslaCrypt leviää sähköpostitse

Kiintolevyt ja verkkolevyt salaava edistynyt kiristyshaittaohjelma
TeslaCrypt leviää haitallisten sähköpostiliitteiden välityksellä. Viime
aikoina TeslaCryptiä on tavattu paljon myös Suomessa.

Tiedot salaava kiristyshaittaohjelma uhkaa myös Suomessa

Viime päivinä Euroopan alueella, myös Suomessa, on havaittu kehittyneen
TeslaCrypt-kiristyshaittaohjelman levittämistä haitallisten
sähköpostiliitteiden välityksellä. Mikäli käyttäjä avaa liitteenä
zip-tiedoston sisällä olevan .js-tiedoston, käyttäjän koneelle latautuu
TeslaCrypt-haittaohjelma murrettujen verkkosivujen kautta.

TeslaCrypt käyttää vahvaa salausmenetelmää, eikä salausta ole
mahdollista purkaa ilman salaukseen käytettyä avainta. Rikolliset
vaativat lunnaita avaimen sisältävän palautustyökalun luovuttamiseksi.

Tarkista, suodata ja varmuuskopioi

Kyberturvallisuuskeskus suosittelee seuraavia toimenpiteitä
kiristyshaittaohjelmilta suojautumiseksi:

1. *Tarkista huolellisesti saamasi sähköpostiviestit*, ennen kuin avaat
niiden liitteitä. TeslaCrypt-kiristyshaittaohjelmia levittäneissä
viesteissä on havaittuja tunnusmerkkejä on lueteltu tämän artikkelin
loppupuolella.
*

*

2. Mikäli mahdollista/, /*tarkasta sähköpostijärjestelmästänne* onko
näihin tunnistetietoihin viittaavia viestejä lähetetty
organisaationne sähköpostiosoitteisiin.
3. Mikäli mahdollista, *suodata tai ohjaa karanteeniin
sähköpostijärjestelmästänne* tunnistetietoja vastaavat sähköpostit.
* Sähköpostisuodattimissa ja sähköpostien
haittaohjelmaskannereissa on havaittu hankaluuksia tunnistaa
tiedostot haitallisiksi .js-tiedoston obfuskoinnista johtuen.
* Varotoimenpiteenä voi ohjata karanteeniin sähköpostiviestit,
joissa liitteenä on .js-tiedoston sisältävä .zip-tiedosto.
4. *Varmuuskopioi *tiedostosi säännöllisesti ja säilytä ne erillään
tietokoneesta. Tarkista varmuuskopion palautuksen toimivuus.

Älä maksa lunnaita, ota yhteyttä Kyberturvallisuuskeskukseen

*Pyydämme olemaan yhteydessä Kyberturvallisuuskeskukseen mahdollisissa
tartuntatapauksissa sekä havainnoista.*

Mikäli TeslaCrypt on onnistunut salaamaan tiedostot, on suositeltavaa
palauttaa tiedostot mahdollisuuksien mukaan varmuuskopioista.
TeslaCryptin versiosta riippuen tästä salaukseen käytetystä avaimesta
saattaa jäädä kopio myös Windows-käyttöjärjestelmän sisälle. Tällöin
tiedostojen palauttaminen saattaa olla mahdollista ilman lunnaiden
maksua. Tämä vaatii avaimen löytämistä sekä erityistyökalun käyttöä.

*Lunnaiden maksu ei ole suositeltavaa*, sillä tämä lisää rikollisten
mielenkiintoa levittää tällaisia kirityshaittaohjelmia. Ei ole myöskään
mitään takuita siitä, että tiedostot saisi takaisin lunnaiden maksamisen
jälkeen. Kyberturvallisuuskeskuksen tiedossa on useita tällaisia tapauksia.

Näin tunnistat TeslaCrypt-haittaviestit

Toistaiseksi havaituissa TeslaCryptiä levittäneissä sähköposteissa on
havaittu seuraavanlaisia tunnistetietoja:

*Liitetiedostot:*

* Liitetiedosto nimeltä /”love.zip”/ jonka sisällä on tiedosto nimeltä
/”info.js”/
* Liitetiedosto /”img.zip”/ jonka sisällä on tiedosto nimeltä /”img.js”/
* Liitetiedosto nimeltä /”live.zip”/ tai /”statement.zip” /
* /Liitetiedosto nimeltä “part1.zip”/
* Liitetiedoston nimi on muotoa /”*etunimi*_resume_*neljä
numeroa*.zip” (esim. “maribeth_resume_7996.zip”)/
* Liitetiedoston nimi on muotoa /”task*10 numeroa*.zip” /(esim/.
“task0000261520.zip”/)
* Liitetiedoston nimi on muotoa //
“invoice_*8 numeroa
//
/*_copy_.zip” /(esim./”invoice_85773314_copy_.zip”/)
* Liitetiedostojen nimi voi olla muukin ja niiden sisällä on aina
haitallinen .js-tiedosto.

*Viestin otsikko*

* Viestin otsikkona (Subject) on viestin lähetysajanhetken aikaleima
muotoa /”11/29/2015 //4:30:09 pm”/
* Viestin otsikkona on /”//
invoice from passion beauty supply ltd”
/
* /
Viestin otsikkona on “your ticket order #*10 numeroa* approved”
esim. “your ticket order #0000889687 approved”
/

/

/
/
/
*Pyydämme olemaan havainnoista yhteydessä Kyberturvallisuuskeskukseen
erityisesti, jos viesteissä esiintyy uudenlaisia tiedostonimiä tai
otsikkoja.*