Kiristysohjelma eli ransomware lukitsee koneen ja vaatii rahaa, jotta tiedostot saisi taas auki. Huijaus on ilmeisen tuottava, sillä se on levinnyt nopeasti. Suomalaiset alan toimijat ovat tehneet uhkasta erillisen tietosivuston www.ransomware.fi.
Huijausta levitetään näköjään myös web-sivuna, joka lukitsee selaimen. Sivun tekstit ja kuvat ovat hyvin uskottavia, joten peruskäyttäjä saattaa noudattaa ohjeita ja ostaa R-kioskilta 100 eurolla vouchereita, joilla lukituksen saa purettua.
Niin ei tietenkään käy. Huijarit ottavat rahat tyytyväisinä, mutta koneen tila ei muutu mihinkään.
Merkittävää web-sivussa on se, että haittaohjelmasta poiketen tämä huijaus iskee myös Mac- ja Linux-käyttäjiin.
VAROITUS Älä kokeile seuraavaa osoitetta, ellet osaa purkaa selaimen lukitusta. Ainoa keino voi olla koneen buuttaaminen.
Huijaus on osoitteessa alert.expresspolicestation.net (tarkoituksella ei linkkinä), jonka jälkeen näytölle tulee sivu:
Uhria syytetään pornosta ja tekijänoikeuslain rikkomisesta. Viittaukset rikoslakiin on käännetty jonkin toisen maan lainsäädännöstä, Suomessa tällaisia pykäliä ei ole. Suomen kieli ei ole virheetöntä, mutta parempaa kuin huijauksissa yleensä.
Sivun lopussa on vielä lisätietoja ja monen tärkeältä näyttävän organisaation logot:
Mutta sitten tulee ikävä yllätys: selainta ei voi sulkea eikä sivulta pääse pois. Jokainen yritys navigoida toiseen osoitteeseen tuottaa varoituksen:
Huijari on kikkaillut Javascriptillä niin taitavasti, että selain näyttää tosiaan olevan lukossa. Edes Chromen prosessin tappaminen Task Lististä ei auttanut.
Todennäköisesti jokaisessa selaimessa on kikka, jolla tästä pääsee ohi. Chromessa se on yksinkertainen: pitää painaa välilyöntiä eikä sulkea varoitusikkunaa hiirellä. Kirjoitetaan siis uusi osoite ja varoitusikkunan ilmestyessä painetaan välilyöntiä, jolloin selain siirtyy uuteen osoitteeseen.
Internet Explorer 11 näyttää aluksi helpolta tapaukselta, sillä se antaa käyttäjälle vaihtoehdon:
Sivulta ei kuitenkaan pääse pois, vaikka valitsisi Leave this page -vaihtoehdon. IE-käyttäjien on suljettava selain Task Lististä (Tehtävälista) (eikä sitten saa painaa Restore session, kun selain käynnistyy uudestaan!) tai kokeiltava kikkaa, jossa kirjoitetaan uusi osoite, valitaan Stay on this page ja painetaan selaimen edellinen sivu -painiketta.
NSA-paljastuksen aikakaudella tuntuu raivostuttavalta, ettei tällaisiin kiristyksiin ja huijauksiin puututa. Olisi helppoa seurata rahavirtoja ja tämän domainin omistajatietoja tekijöiden jäljittämiseksi. Sen sijaan NSA sulkee silmänsä rikollisilta ja keskittyy urkintaan.
Me tavalliset käyttäjät saamme kärsiä. Jos kerran urkitaan, eikö tuloksia voisi käyttää meidän kaikkien hyödyksi?
Huijausta levitetään näköjään myös web-sivuna, joka lukitsee selaimen. Sivun tekstit ja kuvat ovat hyvin uskottavia, joten peruskäyttäjä saattaa noudattaa ohjeita ja ostaa R-kioskilta 100 eurolla vouchereita, joilla lukituksen saa purettua.
Niin ei tietenkään käy. Huijarit ottavat rahat tyytyväisinä, mutta koneen tila ei muutu mihinkään.
Merkittävää web-sivussa on se, että haittaohjelmasta poiketen tämä huijaus iskee myös Mac- ja Linux-käyttäjiin.
VAROITUS Älä kokeile seuraavaa osoitetta, ellet osaa purkaa selaimen lukitusta. Ainoa keino voi olla koneen buuttaaminen.
Huijaus on osoitteessa alert.expresspolicestation.net (tarkoituksella ei linkkinä), jonka jälkeen näytölle tulee sivu:
 |
| Kuvat ja teksti lisäävät uskottavuutta (IP-osoite peitetty). |
Sivun lopussa on vielä lisätietoja ja monen tärkeältä näyttävän organisaation logot:
 |
| Sivun lopussa on lisää logoja ja järjestöjen nimiä. |
 |
| Selain on tosiaan kaapattu... vai onko? |
Todennäköisesti jokaisessa selaimessa on kikka, jolla tästä pääsee ohi. Chromessa se on yksinkertainen: pitää painaa välilyöntiä eikä sulkea varoitusikkunaa hiirellä. Kirjoitetaan siis uusi osoite ja varoitusikkunan ilmestyessä painetaan välilyöntiä, jolloin selain siirtyy uuteen osoitteeseen.
Internet Explorer 11 näyttää aluksi helpolta tapaukselta, sillä se antaa käyttäjälle vaihtoehdon:
 |
| IE11 antaa vaihtoehdon, joka ei kuitenkaan toimi. |
NSA-paljastuksen aikakaudella tuntuu raivostuttavalta, ettei tällaisiin kiristyksiin ja huijauksiin puututa. Olisi helppoa seurata rahavirtoja ja tämän domainin omistajatietoja tekijöiden jäljittämiseksi. Sen sijaan NSA sulkee silmänsä rikollisilta ja keskittyy urkintaan.
Me tavalliset käyttäjät saamme kärsiä. Jos kerran urkitaan, eikö tuloksia voisi käyttää meidän kaikkien hyödyksi?
No tuohan on hyvin kesy. On tullut poistettua muutama tuollanen aikasempi tapaus, missä ei päästä koko Windowsin työpöydälle. Taisi mennä jopa niin pitkälle, että ainoa mikä suostui käynnistymään, oli Windows vikasietotilan komentorivi. Oli tuo haitake kuitenkin niin tyhmä, että kun komentoriviltä sitten käynnisti Explorer.exe manuaalisesti, sitten se ei enää hoksannut mitään ja sai työpöydän esille. Ja siten asennettua haittaohjelmanpoistajaa... Eli tuo on menny jopa "parempaan" suuntaan jos pelkällä tehtävienhallinnalla hommasta pääsee eroon (tai vastaavalla).
VastaaPoistaHeh heh! Nyt puhut jostain haittaohjelman versiosta 0.1. Itsellä ko ohjelma ehti salata lähes kaikki koneeni datatiedostot .ecc tyyppisiksi ja ei paljon naurata. Tuolla komentorivi/explorer tempullasi ei tällä kertaa tehnyt mitään.
PoistaTuo on kyllä kaikkea muuta kuin uskottava. Siitä olen samaa mieltä, että tämmöiselle vilunkipelille pitäisi laittaa stoppi mahdollisimman nopeasti. NSA:n tietotaidolla ja värkeillä tekijät varmasti saataisiinkin jäljitetyksi, mutta tämmöisten pikkupetostelijoiden jahtaaminen ei kuulu heidän agendaansa (ja jos kuuluisi, niin siitäpähän vasta huuto nousisi). Sen sijaan en usko, että suomalaisilla poliiseilla on keinoja tämmöisten, mahdollisesti ulkomaalaisten rikollisten jäljittämiseksi. R-kioskin rooli ihmetyttää, miten se saa edesauttaa tämmöistä, selvästi petollista toimintaa - vai voiko niillä vouchereilla hankkia jotakin laillistakin sisältöä?
VastaaPoistaMarkus, ota huomioon että tämä on pelkkä web-sivu - ei mikään haittaohjelma. Web-sivun ei pitäisi pystyä jumittamaan selainta.
VastaaPoistaMyydäänkö R-kioskilla oikeasti näitä "Vouchereita" joista syylliset sitten saavat rahansa? Jos näin niin miksi R-kioski suostuu niitä myymään, ja sitä kautta saisi kai helposti syylliset kiinni?
VastaaPoistaEi voi kuin ihmetellä että tämmöistä rahankeräystä voidaan harrastaa Suomessa.
VastaaPoistaMissä ovat viranomaiset?
Joulun pyhiä viettämässä, kuten tsunamin aikaan....
Paysafecard toimii Suomessakin. Ehkä joku on käyttänyt sitä johonkin lailliseen tarkoitukseen? Rahavirtojen jäljittämisen pitäisi olla helppoa NSA:lle eikä mahdotonta eurooppalaisellekaan poliisille.
VastaaPoistaPaysafecard on yleisesti käytetty maksuväline netissä ja "syytön" huijaukseen.
VastaaPoistaOnko kenelläkään kokemusta tuosta maksujärjestelmästä.
VastaaPoistaKuinka toimii ja ketkä hyväksyvät?
Juu. Tiedän että tämä on "vain" pelkkä nettisivu. Ja se nimenomaan onkin se radikaali ero. Tästä samaisesta "kiristyksestä" on jo monia eri variantteja ollut pari vuotta. Ja tähän asti se on muuttunut aina vain vaikeammaksi ja vaikeammaksi poistaa. Mutta nyt yhtäkkiä tämä uusin onkin vain nettisivu. Ehkäpä rikollisetkin ovat huomanneet, että Windows PC ei ole enää se yleisin kone, vaan se voi olla myös esim ipad... Ja tämähän toimii myös ipadissa... Siten kuitenkin roistojen on pitänyt tehdä "haittaohjelmasta" paljon paljon simppelimpi mitä se pahimmillaan oli. Eli jopa vikasietotilan jumiuttava vihulainen...
VastaaPoistaPekka: mitä palveluita Suomessa voi maksaa Paysafecardilla? Ketkä niitä R-kioskeilta ostavat?
VastaaPoistaNoita on monta versiota ja uusimmat ei välttämättä olekaan niin helppoja poistaa.
VastaaPoistaMonissa nettikasinoissa voi tallettaa Paysafecardilla.
VastaaPoistaransomware.fi on suomalainen domain. Ficoralta löytyy tiedot. Itse luulin, että hakijan pitää todentaa henkilöllisyytensä, mutta ehkä ei kuitenkaan....
VastaaPoistaVerkkotunnus ransomware.fi on jo varattu.
Verkkotunnuksen tiedot
Verkkotunnus ransomware
Tila Myönnetty
Voimassaoloaika (kk) 36
Verkkotunnus on myönnetty 23.9.2013 9:38
Voimassaoloaika päättyy 18.9.2016 9:47
Vapautuu haettavaksi 18.10.2016 9:47
DNSSEC käytössä Ei
Haltija
Yhteisömuoto Julkisen sektorin yhteisö
Y-tunnus tai yhdistysrekisterinumero 22886666
Nimi Itä-Uudenmaan poliisilaitos
Osasto/yhteyshenkilö
Yhteystiedot
Postiosoite Kielotie 21
Postinumero 01300
Postitoimipaikka Vantaa
Puhelinnumero 071 87301
Entä miten Macillä pitää toimia jos tällaista tulee eteen..?
VastaaPoistaMac-käyttäjä kertoi, että kiristyssivun lukituksen voi poistaa Safarissa yksinkertaisesti Reset Safari -komennolla. Oikein toimivaa selainta ei pitäisi saada lukkoon Javascript-kikkailuilla.
VastaaPoistaTästä viruksesta/troijalaisesta taitaa olla uusi paranneltu versio liikkeellä, sillä virus ehti muuntaa (poliisi sivun alla) lähes kaikki koneen datatiedostot (txt, jpg...) tyypiksi .ecc. Ne ovat ruudulle pompanneen tektitiedoston eli salauksen poisto-ohjeen mukaan salattu erittäin vahvalla RSA-2048 avaimella. Avaimen saa tietoon vain TOR Browserilla, jolla suoritetaan BITCOIN maksu. Aika hurjaa! Onkohan tämän salauksen purku mahdollista ainostaan em tavalla toimimalla? Minulla on tallessa tuo salaukseen/TORiin liittyvä uhkaus/maksu/rekisteröintiohje, jos jotain kiinnostaa?
VastaaPoistaOlisiko jollain selkeät ohjeet tuon kaiken allaan peittävän poliisiuhkauskuvan/sivun poistoon? Koneessani on XP. Netistä löytämilläni poistoohjeilla ei loppu viimeksi tehnyt yhtään mitään. Näyttäisi, että sain itse viruksen tapetuksi (tiedostojen tuhoutumisen jälkeen) pienellä tuurilla, sillä koneessani oli asennettuna Anti-Malwarebytes. Osasin käynnistää koneen 'SAFE-tilaan verkkoyhteyksien kanssa' (buutissa painetaan F8) ja edelleen saada komentopromptin auki, mennä DOSsissa oikeaan hakemistoon ja käynnistää manuaalisesti ko virustorjuntaohjelmisto. Ohjelma löysi ja karanteerasi aika monta troijalaista ja jotain vähemmän vakavaa haittaa. Jokin noista troijalaisista varmaan liittyi Poliisi/BITCOIN/TOR-kiristykseen?!
Kiristysohjelmia on monenlaisia, eikä salausta yleensä voi purkaa ilman maksamista. Hesarissa oli aiheesta kattava artikkeli: http://www.hs.fi/tekniikka/a1429149924003.
VastaaPoistaOnko arvausta, mistä kiristysohjelma tuli? Jäikö ohjelma talteen, olisi kiinnostavaa tutkia sitä.
Selainistuntoja oli sen verran monta yhtä aikaa auki, etten osaa sanoa miltä sivustolta kiristysohjelma olisi voinut tulla. Tuntuma on, että ohjelman asentuminen olisi liittynyt flash playerin päivittämiseen tai ainakin siis siltä näyttäneeseen sivustoon?! Kovalevyltä on sittemmin löytynyt muutamia viruksia mm Anti-Malwarebytesin avulla mutta en itse niistä osaa ainakaan itse erotella ko ohjelmaa tutkittavaksi. Kovalevyn salausta on nyt yritetty avata tietokonehuollossa puolitoista kuukautta mutta vielä ei ole avainta löytynyt. Ehkä ei koskaan!?
VastaaPoista