Salakirjoitusta hyödyntävä Cryptowall-kiristyshaittaohjelma havaittu Suomessa

Viestintäviraston Kyberturvallisuuskeskuksen tietoon on tullut ensimmäinen
varmistettu Cryptowall-kiristyshaittaohjelmatartunta suomessa. Tapaus
osoittaa kuinka pelkät tekniset tietoturvakontrollit eivät riitä tietokoneen
suojaamiseksi, vaan käyttäjän tekemät toimenpiteet muodostavat merkittävät
osan kokonaistietoturvasta. Artikkelissa kuvattu
kiristyshaittaohjelmatartunta sai kuitenkin onnellisen lopun, koska käyttäjä
oli huolehtinut henkilökohtaisista varmuuskopioista asianmukaisella tavalla.

Käyttäjän tiedostot salakirjoittava Cryptowall toimii samalla periaatteella
kuin vuonna 2013 havaittu CryptoLocker-kiristyshaittaohjelma
. Cryptowall tartunta voi pahimmillaan johtaa kaikkiin käyttäjän
tiedostojen menettämiseen. Cryptowall vaatii lunnasrahojen maksua
tiedostojen palauttamiseksi, mutta lunnaiden maksaminenkaan ei takaa
tiedostojen pelastamista. Haittaohjelmasta on 10.7.2014 saatu ensimmäinen
vahvistettu havainto suomalaisen käyttäjän tietokoneessa.

CryptoLocker on ollut useiden maiden riesana vuodesta 2013 alkaen.
Verkkorikolliset levittivät kyseistä haittaohjelmaa Gameover Zeus
-bottiverkon avulla. Kesäkuussa 2014 toteutetun monikansallisen operaation
seurauksena Gameover Zeus komentopalvelimien toiminta
onnistuttiin estämään, jolloin myös itse bottiverkon toimintakyky laski
merkittävästi. Tämän seurauksena myös CryptoLocker tartunnat vähenivät
merkittävästi ympäri maailmaa. Useat tahot kuitenkin ennustivat, että
CryptoLocker ei jää viimeiseksi tiedostoja salakirjoittavaksi
kiristyshaittaohjelmaksi.

Kesän 2014 aikana onkin havaittu useita CryptoLocker kopioita, jotka
pyrkivät kiristämään käyttäjältä rahaa tiedostojen palauttamiseksi. Näistä
nähdyistä kopioista vaarallisin tällä hetkellä on Cryptowall, jonka
salakirjoitus on toteutettu CryptoLocker -kiristyshaittaohjelman tapaan
julkisen ja salaisen avaimen salausperiaatteella. Tämä salakirjoitustapa
tekee salakirjoituksen purkamisen käytännössä mahdottomaksi, ellei käytössä
ole verkkorikollisten hallussa olevaa salaista avainta.

Levityksessä hyödynnetään tuotteistettuja hyväksikäyttömenetelmiä sekä
sähköpostiviestejä

Cryptowall –haittaohjelmaa tiedetään levitettävän niin kutsuttujen Exploit
Kittien, eli tuotteistettujen hyväksikäyttömenetelmien avulla (esimerkiksi
Angler- ja Goon -Exploit kitit). Haittaohjelmaa levitetään myös
perinteisemmällä menetelmällä, eli sähköpostin liitetiedostona. Suomessa
havaittu tartunta tapahtui haitallisen sähköpostiliitteen kautta, jonka
käyttäjä erehtyi avaamaan. Kyseisen sähköpostin sisältönä oli:

Dear Customer,

You have received a new fax.

Date/Time: 2014:08:09 12:28:09

Number of pages:2

Received from: 08447 53 54 56

Regards,

FAX

Viestin liitteenä oli Zip-tiedosto, jonka sisällä oli PDF-tiedostoksi
naamioitu ajettava Exe-tiedosto.

Haittaohjelmaa tiedetään levitettävän myös erilaisten sähköpostiviestien
kautta, mutta yhteistä niille on Zip-muotoisen tiedoston mukana olo
liitteenä, tai sen lataus viestissä olevan linkin kautta.