Kiristäjien tuhoisat kryptolockerit vaanivat varomattomia

Tällä hetkellä maailmalla leviävistä tietokoneviruksista Kryptolockerit (Cryptolockereita esiintyy myös nimillä CryptoWall ja TorrentLock) on kaikkein ikävimpiä ja harmillisimpia. Jos kyseinen tauti iskee koneeseen ja pääsee tekemään tuhojaan, niin normaalin ihmisen resursseilla ei ole enää juuri mitään tehtävissä. Siinä missä muut virukset on suunniteltu lähinnä  aiheuttamaan harmia tai käyttämään saastutettua tietokonetta viruksten tai mainosten levittämiseen, niin Kryprolockereiden tavoite on kiristää tekijöilleen rahaa ja siinä mielessä se on paljon lähempänä perinteistä rikollista toimintaa ja mitä ilmeisesti tekijät myös onnistuvat siinä.

Päästyään tietkoneeseen kryptolocker piiloutuu ensin Windowsin sisäiseen rekisteriin ja yrittää sen jälkeen useiden välipalvelimien kautta saada yhteyden tekijäänsä. Jos yhteys onnistuu virus saa koneelle salausavaimen. Salausavaimessa on kaksi osaa — julkinen osa on saastuneella koneella ja yksityinen osa on viruksen levittäjän hallussa.

Seuraavaksi kryptolocker alkaa etsiä käyttäjän koneelta kiinnostavia tiedostoja — useimmiten Microsoft Officen Word, Powerpoint tai Excel -tiedostoja, joita se alkaa salata salausavaimella. Salaaminen tarkoittaa, että kyseistä tiedostoa ei pysty enää lukemaan ilman molempia salausavaimia, toisin sanoen monimutkaista salasanaa. Salauksen murtaminen on käytännössä mahdotonta nykyisin käytössä olevalla tietokonekapasiteetilla.  Tiedostoja ei siis pysty enää avaamaan, vaan sen sijaan käyttäjälle tulee viruksen levittäjän laatima pahaenteinen ilmoitus.

Ilmoitukseen, jossa kerrotaan mitä on tapahtunut, on syytä suhtautua vakavasti, tässä vaiheessa tiedostojen pelastaminen ei välttämättä ole vielä myöhäistä.

Miten kryptolockeriin pitää reagoida?

Ensimmäinen tehtävä on poistaa virus koneelta mahdollisimman pian, ettei se pysty enää jatkamaan tihutöitään. Googlaamalla löytyy joitakin virus-ohjelmistoja, jotka lupaavat poistaa (ainakin osan) Kryptolockerit koneelta, mutta ainoa todella varma tapa on asentaa Windows kokonaan uudestaan. Mikä kannattaa joka tapauksessa tehdä myös viruksen poistamisen jälkeenkin, sillä se saattaa kaikesta huolimatta jättää jälkiä itsestään.

Ennen kuin kuitenkaan tekee mitään, kannattaa tarkistaa mitä tiedostoja virus on jo ehtinyt salaamaan. Ne on mahdollista tunnistaa esim. siitä, että tiedoston normaalin nimen perään on ilmaantunut teksti 7z.encrypted. Koska virus käyttää erittäin kovaa suojausta, niin tiedostojen salaus kestää yleensä pitkään — joissakin tapauksissa päiväkausia, joten hyvällä tuurilla virus ei välttämättä ole ehtinyt tehdä laajaa vahinkoa, vaikka olisikin saanut toimia pitkäänkin koneen uumenissa.

Ennen uudelleenasennusta tai viruksen poistamista on vielä pari mahdollisuutta pelastaa tiedostot. Paras pelastus on varmuuskopiot ajalta ennen viruksen tarttumista. Jos koneesta on säännöllisesti tehty varmuuskopioita, joissa myös vanhemmat versiot pysyvät tallessa, niin niistä saastuneet tiedostot voi palauttaa uudelleen asennuksen jälkeen.

Toinen vaihtoehto on Windows Vista / 7 / 8 tekemät automaattiset Shadow Copyt, joita järjestelmä automaattisesti tekee aika-ajoin myös käyttäjän tiedostoista. Yleensä kyseiset kopiot eivät ole käyttäjälle näkyvissä, mutta Googlaamalla löytyy joitakin ohjelmistoja, joilla näitä tiedostoja voi yrittää etsiä koneelta.

Miten kyrptolockerilta voi suojautua?

Valitettavasti mihinkään viranomaiseen ei kannata kryptolockerin iskiessä olla yhteydessä, vaikka kyseessä on torkeä rikos. Rikosilmoituksen voi tehdä esim. sähköisesti, mutta poliisi ei asiassa voi auttaa. Pari vuotta sitten jopa Yhdysvaltain poliisikaan ei keksinyt mitään muuta keinoa kuin maksaa kiristäjille saadakseen takaisin salatut tiedostonsa. Kiristäjien onnistuu hyvin sekä piilottamaan viruksen tietoliikenteen (joka on hyvin minimaalista) että rahaliikenteen. Itse asiassa kiristäjille maksaminen saattaa Suomen lain mukaan olla rikollista, koska vastaanottaja voi olla esim. terroristi tai järjestäytyneet rikollisuuden taho.

Useimmat ajan tasalla pidetyt virusturvaohjelmat kyllä tunnistavat Kryptolockerit ja estävät niitä tarttumasta, mutta kuten muidenkin haittaohjelmian osalta, torjunta on jatkuvaa kilpajuoksua virusten evoluutiota vastaan. Kryptolockerit päätyvät koneelle samalla tavalla kuin muutkin tietokonevirukset, esimerkiksi porno- tai uhkapelisivustojen kautta tai sivustoilta, jotka jakelevat ilmaiseksi musiikkia, pelejä tai muita tietokoneohjelmia.  Se voi myös tarttua sähköpostin liitetiedostoista, jotka esittävät olevansa jotain muuta kuin mitä todellisuudessa ovat. Epäilyttäviä ja houkuttelevia liitteitä ei kannata avata eikä hämäriltä nettisivuilta kannata asentaa omalle koneelle mitään mistä ei ole aivan varma.

Kryptolockerit eivät onneksi ole kovinkaan yleisiä ja niiden kohteena on useimmiten yritysten hallinnoimat koneet, koska tavallisilla ihmisillä ei ole mahdollisuutta tai pakottavaa tarvetta maksaa kiristäjille. Mutta tämän syksyn aikana on ilmaantunut taas uusia yrittäjiä, jotka leviävät aktiivisesti verkossa.

Viimeinen vaihtoehto on huonoin

Kiristäjät uhkaavat tuhota hallinnassaan olevan salausavaimen tiettyyn aikaan mennessä tai jos virusta yritetään poistaa koneelta. Todellisuudessa ne eivät kuitenkaan tee niin, koska avaimen tuhoutuessa ne menettävät mahdollisuuden saada rahaa. Sen sijaan ne nostavat lunnaita, kunnes uhri on valmis maksamaan tai unohtamaan menettämänsä tiedostot.

Cryptolocker-kiristäjälle maksaminen on viimeinen vaihtoehto johon ei koskaan kannattaisi turvautua, mutta joskus vain on pakko. Aluksi kiristäjä vaatii esimerkiksi 300 - 500 dollaria tai euroa. Ensimmäisen määräajan umpeuduttua hinta kaksinkertaistuu ja saattaa myöhemmin nousta vielä lisää. Maksu suoritetaan tavalla tai toisella anonyymisti, joten rahan jälkiä ei kykene seuraamaan. Usein nykyään maksua vaaditaan virtuaalivaluutassa, kuten bitcoineina, jotka aiheuttavat omia ongelmiaan. Ensinnäkin monet bitcoin-välittäjät kieltäytyvät myymästä valuuttaa, joka päätyy kiristäjälle. Bitcoinien kulkeutumista on mahdoton jäljittää, koska se käyttää samankaltaista salausta kuin Kryptolockerit. Bitcoinin arvo myös heilahtelee rajusti. 500 eurolla saattoi eilen saada 2 bitcoinia, mutta tänään van puolitoista.

Vaikka lunnaat maksaisi, muodossa tai toisessa, mikään ei tietenkään pakota kiristäjää luovuttamaan oikeaa salausavainta, vaikka jotkut uhrit ovat saaneet tiedostonsa pelastettua. On olemassa houkutus, että kiristämistä jatketaan ensimmäisen maksun jälkeen. Tekijöiden joukossa on kaikenlaisia epärehellisiä toimijoita eivätkä kaikki niistä todellakaan ole reiluja.

Joka tapauksessa, pelastipa tiedostonsa ja käyttipä mitä tahansa keinoa viruksen poistamiseen, on syytä asentaa koko Windows täysin uudestaan ettei joudu samaan tilanteeseen pian uudestaan.

Ja maksoipa oppitunnista sitten rahana tai menetettyinä tiedostoina, jatkossa virusturvasta kannattaa huolehtia tarkemmin, pitää varmuuskopiot ajan tasalla ja olla valppaampi verkossa toimiessaan.

Kimmo Lehtonen

Helsingin kaupungin it-opastusken koordinointi

PS. Muistutan tässä yhteydessä kaupungin järjestämästä tilaisuudesta perjantaina 4.12. klo 12.30 - 15.30 Pasilan pääkirjastossa. Aiheena mm. Windows 10:n siirtyminen. lmoittautumiset 30.11. mennessä tällä lomakkeella http://goo.gl/forms/Ef3EKOohDe Tilaisuus on avoin kaikille.