tiistai 15. maaliskuuta 2016

Tältä näyttää kiristyshaittaohjelma

Kiristysohjelmat ovat rikollisten suosiossa. Niitä levitetään varsinkin sähköpostien liitetiedostoina. Viestinä on usein saate laskusta tai faksista, joka pitäisi avata Wordillä. Dokumentissa on mukana makroja, jotka lataavat varsinaisen haittaohjelman jostain netin palvelimelta. Sen jälkeen tapahtuu ikäviä: kiristysohjelma salakirjoittaa työtiedostot ja vaatii rahaa (tai Bitcoineja) purkuavaimesta.

Virus sähköpostissa houkuttelee avaamaan liitteen.
Makrovirukset yleistyivät 1990-luvun lopussa, jolloin ne levisivät tehokkaasti sähköpostilla. Sen jälkeen Microsoft kytki oletusarvona makrot pois käytöstä, jolloin tämän tyypin virukset kuolivat ja tekijät siirtyivät uusiin kanaviin, kuten Flash- ja Java-aukkojen hyödyntämiseen.

Nyt makrovirukset ovat palanneet. Koska makroja ei oletusarvona käynnistetä, haittaohjelma käyttää ovelaa kikkaa: se väittää, että dokumentti on suojattu, ja neuvoo kytkemään suojauksen pois päältä dokumentin avaamiseksi.

Epäilyttävää tiedostoliitettä ei kannata koskaan avata suoraan sähköpostista. Turvallisempi tapa on käyttää älypuhelinta tai ladata tiedosto ensin omalle levylle, jonka jälkeen sitä voi katsoa Tiedostonhallinnan esikatselulla.

Makrovirus näyttää esimerkiksi tältä:

Esikatselu näyttää Word-dokumentin alun.
Teksti neuvoo virheettömällä englannilla, aivan kuin ilmoitus tulisi Wordistä:

PROTECTED DOCUMENT
This file is protected by Microsoft Office
Please enable Editing and Content to see this document.

CAN'T VIEW THE DOCUMENT? FOLLOW THE STEPS BELOW.

Viimeinen kohta "Once you have enabled editing, please click "Enable Content" on the yellow bar above" on ratkaiseva: se käynnistää haitallisen makron ja lataa kiristysohjelman. 

Huolestuttavaa on, etteivät virustorjuntaohjelmat näytä juurikaan reagoivan haitallisiin dokumentteihin. Sähköpostiohjelmat estävät exe-ohjelmatiedostojen lähettämisen ja virustorjunta tarkistaa zip-paketit, mutta doc-tiedostot menevät sukkana läpi -- ehkä siksi, että niissä on vain haittaohjelman latausosuus eikä varsinaista haittakoodia.

Virustotal kertoo, että vain muutama torjuntaohjelma reagoi suoraan haitalliseen liitteeseen:

Virustorjunta ei tunnista haitallisia makroja liitetiedostoissa.
Toinen tapa tarkistaa epäilyttävät liitteet on avata ne Google Docsin ilmaisella pilvipalvelulla. Se ei aja Wordin makroja, joten vaaraa vahingossa käynnistämisestä ei ole:

Google Docsin tekstinkäsittely ei aja makroja.
Joskus puutteellisesta yhteensopivuudesta esikuvan kanssa on jotain hyötyäkin!

Lisätään vielä, että Virustotalin käyttämät torjuntaohjelmat käyttävät pelkkiä virustunnisteita, joiden teho on selvästikin riittämätön. Työasemaan asennettuna torjuntaohjelmat luultavasti antaisivat hälytyksen ja estäisivät dokumentin avaamisen. Toimivuutta on mahdoton varmistaa asentamatta kaikkia torjuntaohjelmia, joten virustorjunnan aukottomuus jää tältä osin avoimeksi.

Silti herää kysymys, miksei makroviruksia torjuta jo sähköpostipalvelimella ja tiedostoina? Miksi jättää torjunta avausyritykseen asti? Mahdotonta se ei ole, kuten McAfee osoittaa.

Vielä toinen lisäys 16.3.2016: Windows 10:n mukana tuleva Security Essentials reagoi liitteeseen, kun sen sisältävä viesti avataan Kympin omassa sähköpostiohjelmassa:

Windowsin oma turvaohjelma varoittaa
Kun vaarallinen liite ladattiin Gmailista ja käsiteltiin samassa koneessa tiedostona, mitään varoitusta ei tullut.

Loppuyhteenvetona pitää todeta, että jälleen kerran oma varovaisuus on kaikkein parasta, mutta tietoturvaohjelmat toimivat viimeisenä varokeinona.

3 kommenttia:

  1. Ovatko sähköpostiohjelmatkin palanneet? Työelämässä niitä kai vielä käytetään, mutta kotiosoite on monella gmail tai facebook. Ajatus siitä, että tuntematon ihminen lähettää dokumentin, on hyvin etäinen tänäpäivänä. Sähköposti on somepalveluja varten, ja some sitten vasta varsinaiseen asioiden hoitoon. Siellä "liitetiedostot" ovat kuvia ja videoita. Näyttää siltä, että diginatiivit syrjäytyvät natiiviympäristöistä.

    VastaaPoista
  2. Nämähän eivät tule tuntemattomilta ihmisiltä vaan esim. kaupoilta, huolintayhtiöiltä tai viranomaisilta. Tämä tuli Fedexin nimissä. Tietysti jos ei ole koskaan tilannut mitään Fedexiltä on helppo nähdä, että kyseessä on haittaohjelma, mutta moni on asioinut joskus em. firman kanssa eikä voi olla varma, liittyykö tämä johonkin.

    Kohdistettuja hyökkäyksiä lähetetään kolleegan tai esihenkilön nimiin väärennetystä osoitteesta, jolloin uhri ei osaa epäillä mitään.

    VastaaPoista
  3. Gmailissa on oma esikatselutoiminto doc- ja pdf-tiedostoille. Lisäksi se antaa mahdollisuuden avata ne muissa pilvipalveluissa. Tämä on turvallinen tapa avata tiedostot, koska palvelut toimivat puhtaassa HTML-muodossa. Jopa turvallisempaa kuin HTML-liitteet, koska online-palvelu toimii välikätenä. Eräänlaista some-maailmaa tämäkin.

    Liitetiedoston lataaminen koneelle on aina vaarallista puuhaa. Seurasin viime keväänä Spring Housen kurssia, jossa aloittelijoita opetettiin välittämään doc-tiedostoja sähköpostilla. Meininki oli samanlaista kuin 20 vuotta sitten. Esikatselut neuvottiin kiertämään.

    Se olisi OK, jos tiedostot ladattaisiin suoraan emulaattoriin.

    VastaaPoista