sunnuntai 29. joulukuuta 2013

Kiristyshuijauksen sivu kaappaa selaimen

Kiristysohjelma eli ransomware lukitsee koneen ja vaatii rahaa, jotta tiedostot saisi taas auki. Huijaus on ilmeisen tuottava, sillä se on levinnyt nopeasti. Suomalaiset alan toimijat ovat tehneet uhkasta erillisen tietosivuston www.ransomware.fi.

Huijausta levitetään näköjään myös web-sivuna, joka lukitsee selaimen. Sivun tekstit ja kuvat ovat hyvin uskottavia, joten peruskäyttäjä saattaa noudattaa ohjeita ja ostaa R-kioskilta 100 eurolla vouchereita, joilla lukituksen saa purettua.

Niin ei tietenkään käy. Huijarit ottavat rahat tyytyväisinä, mutta koneen tila ei muutu mihinkään.

Merkittävää web-sivussa on se, että haittaohjelmasta poiketen tämä huijaus iskee myös Mac- ja Linux-käyttäjiin.

VAROITUS Älä kokeile seuraavaa osoitetta, ellet osaa purkaa selaimen lukitusta. Ainoa keino voi olla koneen buuttaaminen. 

Huijaus on osoitteessa alert.expresspolicestation.net (tarkoituksella ei linkkinä), jonka jälkeen näytölle tulee sivu:

Kuvat ja teksti lisäävät uskottavuutta (IP-osoite peitetty).
Uhria syytetään pornosta ja tekijänoikeuslain rikkomisesta. Viittaukset rikoslakiin on käännetty jonkin toisen maan lainsäädännöstä, Suomessa tällaisia pykäliä ei ole. Suomen kieli ei ole virheetöntä, mutta parempaa kuin huijauksissa yleensä.

Sivun lopussa on vielä lisätietoja ja monen tärkeältä näyttävän organisaation logot:

Sivun lopussa on lisää logoja ja järjestöjen nimiä.
Mutta sitten tulee ikävä yllätys: selainta ei voi sulkea eikä sivulta pääse pois. Jokainen yritys navigoida toiseen osoitteeseen tuottaa varoituksen:

Selain on tosiaan kaapattu... vai onko?
Huijari on kikkaillut Javascriptillä niin taitavasti, että selain näyttää tosiaan olevan lukossa. Edes Chromen prosessin tappaminen Task Lististä ei auttanut.

Todennäköisesti jokaisessa selaimessa on kikka, jolla tästä pääsee ohi. Chromessa se on yksinkertainen: pitää painaa välilyöntiä eikä sulkea varoitusikkunaa hiirellä. Kirjoitetaan siis uusi osoite ja varoitusikkunan ilmestyessä painetaan välilyöntiä, jolloin selain siirtyy uuteen osoitteeseen.

Internet Explorer 11 näyttää aluksi helpolta tapaukselta, sillä se antaa käyttäjälle vaihtoehdon:

IE11 antaa vaihtoehdon, joka ei kuitenkaan toimi.
Sivulta ei kuitenkaan pääse pois, vaikka valitsisi Leave this page -vaihtoehdon. IE-käyttäjien on suljettava selain Task Lististä (Tehtävälista) (eikä sitten saa painaa Restore session, kun selain käynnistyy uudestaan!) tai kokeiltava kikkaa, jossa kirjoitetaan uusi osoite, valitaan Stay on this page ja painetaan selaimen edellinen sivu -painiketta.

NSA-paljastuksen aikakaudella tuntuu raivostuttavalta, ettei tällaisiin kiristyksiin ja huijauksiin puututa. Olisi helppoa seurata rahavirtoja ja tämän domainin omistajatietoja tekijöiden jäljittämiseksi. Sen sijaan NSA sulkee silmänsä rikollisilta ja keskittyy urkintaan.

Me tavalliset käyttäjät saamme kärsiä. Jos kerran urkitaan, eikö tuloksia voisi käyttää meidän kaikkien hyödyksi?

19 kommenttia:

  1. No tuohan on hyvin kesy. On tullut poistettua muutama tuollanen aikasempi tapaus, missä ei päästä koko Windowsin työpöydälle. Taisi mennä jopa niin pitkälle, että ainoa mikä suostui käynnistymään, oli Windows vikasietotilan komentorivi. Oli tuo haitake kuitenkin niin tyhmä, että kun komentoriviltä sitten käynnisti Explorer.exe manuaalisesti, sitten se ei enää hoksannut mitään ja sai työpöydän esille. Ja siten asennettua haittaohjelmanpoistajaa... Eli tuo on menny jopa "parempaan" suuntaan jos pelkällä tehtävienhallinnalla hommasta pääsee eroon (tai vastaavalla).

    VastaaPoista
    Vastaukset
    1. Heh heh! Nyt puhut jostain haittaohjelman versiosta 0.1. Itsellä ko ohjelma ehti salata lähes kaikki koneeni datatiedostot .ecc tyyppisiksi ja ei paljon naurata. Tuolla komentorivi/explorer tempullasi ei tällä kertaa tehnyt mitään.

      Poista
  2. Tuo on kyllä kaikkea muuta kuin uskottava. Siitä olen samaa mieltä, että tämmöiselle vilunkipelille pitäisi laittaa stoppi mahdollisimman nopeasti. NSA:n tietotaidolla ja värkeillä tekijät varmasti saataisiinkin jäljitetyksi, mutta tämmöisten pikkupetostelijoiden jahtaaminen ei kuulu heidän agendaansa (ja jos kuuluisi, niin siitäpähän vasta huuto nousisi). Sen sijaan en usko, että suomalaisilla poliiseilla on keinoja tämmöisten, mahdollisesti ulkomaalaisten rikollisten jäljittämiseksi. R-kioskin rooli ihmetyttää, miten se saa edesauttaa tämmöistä, selvästi petollista toimintaa - vai voiko niillä vouchereilla hankkia jotakin laillistakin sisältöä?

    VastaaPoista
  3. Markus, ota huomioon että tämä on pelkkä web-sivu - ei mikään haittaohjelma. Web-sivun ei pitäisi pystyä jumittamaan selainta.

    VastaaPoista
  4. Myydäänkö R-kioskilla oikeasti näitä "Vouchereita" joista syylliset sitten saavat rahansa? Jos näin niin miksi R-kioski suostuu niitä myymään, ja sitä kautta saisi kai helposti syylliset kiinni?

    VastaaPoista
  5. Ei voi kuin ihmetellä että tämmöistä rahankeräystä voidaan harrastaa Suomessa.

    Missä ovat viranomaiset?

    Joulun pyhiä viettämässä, kuten tsunamin aikaan....

    VastaaPoista
  6. Paysafecard toimii Suomessakin. Ehkä joku on käyttänyt sitä johonkin lailliseen tarkoitukseen? Rahavirtojen jäljittämisen pitäisi olla helppoa NSA:lle eikä mahdotonta eurooppalaisellekaan poliisille.

    VastaaPoista
  7. Paysafecard on yleisesti käytetty maksuväline netissä ja "syytön" huijaukseen.

    VastaaPoista
  8. Onko kenelläkään kokemusta tuosta maksujärjestelmästä.
    Kuinka toimii ja ketkä hyväksyvät?

    VastaaPoista
  9. Juu. Tiedän että tämä on "vain" pelkkä nettisivu. Ja se nimenomaan onkin se radikaali ero. Tästä samaisesta "kiristyksestä" on jo monia eri variantteja ollut pari vuotta. Ja tähän asti se on muuttunut aina vain vaikeammaksi ja vaikeammaksi poistaa. Mutta nyt yhtäkkiä tämä uusin onkin vain nettisivu. Ehkäpä rikollisetkin ovat huomanneet, että Windows PC ei ole enää se yleisin kone, vaan se voi olla myös esim ipad... Ja tämähän toimii myös ipadissa... Siten kuitenkin roistojen on pitänyt tehdä "haittaohjelmasta" paljon paljon simppelimpi mitä se pahimmillaan oli. Eli jopa vikasietotilan jumiuttava vihulainen...

    VastaaPoista
  10. Pekka: mitä palveluita Suomessa voi maksaa Paysafecardilla? Ketkä niitä R-kioskeilta ostavat?

    VastaaPoista
  11. Noita on monta versiota ja uusimmat ei välttämättä olekaan niin helppoja poistaa.

    VastaaPoista
  12. Monissa nettikasinoissa voi tallettaa Paysafecardilla.

    VastaaPoista
  13. ransomware.fi on suomalainen domain. Ficoralta löytyy tiedot. Itse luulin, että hakijan pitää todentaa henkilöllisyytensä, mutta ehkä ei kuitenkaan....


    Verkkotunnus ransomware.fi on jo varattu.

    Verkkotunnuksen tiedot
    Verkkotunnus ransomware
    Tila Myönnetty
    Voimassaoloaika (kk) 36
    Verkkotunnus on myönnetty 23.9.2013 9:38
    Voimassaoloaika päättyy 18.9.2016 9:47
    Vapautuu haettavaksi 18.10.2016 9:47
    DNSSEC käytössä Ei
    Haltija
    Yhteisömuoto Julkisen sektorin yhteisö
    Y-tunnus tai yhdistysrekisterinumero 22886666
    Nimi Itä-Uudenmaan poliisilaitos
    Osasto/yhteyshenkilö
    Yhteystiedot
    Postiosoite Kielotie 21
    Postinumero 01300
    Postitoimipaikka Vantaa
    Puhelinnumero 071 87301

    VastaaPoista
  14. Entä miten Macillä pitää toimia jos tällaista tulee eteen..?

    VastaaPoista
  15. Mac-käyttäjä kertoi, että kiristyssivun lukituksen voi poistaa Safarissa yksinkertaisesti Reset Safari -komennolla. Oikein toimivaa selainta ei pitäisi saada lukkoon Javascript-kikkailuilla.

    VastaaPoista
  16. Tästä viruksesta/troijalaisesta taitaa olla uusi paranneltu versio liikkeellä, sillä virus ehti muuntaa (poliisi sivun alla) lähes kaikki koneen datatiedostot (txt, jpg...) tyypiksi .ecc. Ne ovat ruudulle pompanneen tektitiedoston eli salauksen poisto-ohjeen mukaan salattu erittäin vahvalla RSA-2048 avaimella. Avaimen saa tietoon vain TOR Browserilla, jolla suoritetaan BITCOIN maksu. Aika hurjaa! Onkohan tämän salauksen purku mahdollista ainostaan em tavalla toimimalla? Minulla on tallessa tuo salaukseen/TORiin liittyvä uhkaus/maksu/rekisteröintiohje, jos jotain kiinnostaa?

    Olisiko jollain selkeät ohjeet tuon kaiken allaan peittävän poliisiuhkauskuvan/sivun poistoon? Koneessani on XP. Netistä löytämilläni poistoohjeilla ei loppu viimeksi tehnyt yhtään mitään. Näyttäisi, että sain itse viruksen tapetuksi (tiedostojen tuhoutumisen jälkeen) pienellä tuurilla, sillä koneessani oli asennettuna Anti-Malwarebytes. Osasin käynnistää koneen 'SAFE-tilaan verkkoyhteyksien kanssa' (buutissa painetaan F8) ja edelleen saada komentopromptin auki, mennä DOSsissa oikeaan hakemistoon ja käynnistää manuaalisesti ko virustorjuntaohjelmisto. Ohjelma löysi ja karanteerasi aika monta troijalaista ja jotain vähemmän vakavaa haittaa. Jokin noista troijalaisista varmaan liittyi Poliisi/BITCOIN/TOR-kiristykseen?!

    VastaaPoista
  17. Kiristysohjelmia on monenlaisia, eikä salausta yleensä voi purkaa ilman maksamista. Hesarissa oli aiheesta kattava artikkeli: http://www.hs.fi/tekniikka/a1429149924003.

    Onko arvausta, mistä kiristysohjelma tuli? Jäikö ohjelma talteen, olisi kiinnostavaa tutkia sitä.

    VastaaPoista
  18. Selainistuntoja oli sen verran monta yhtä aikaa auki, etten osaa sanoa miltä sivustolta kiristysohjelma olisi voinut tulla. Tuntuma on, että ohjelman asentuminen olisi liittynyt flash playerin päivittämiseen tai ainakin siis siltä näyttäneeseen sivustoon?! Kovalevyltä on sittemmin löytynyt muutamia viruksia mm Anti-Malwarebytesin avulla mutta en itse niistä osaa ainakaan itse erotella ko ohjelmaa tutkittavaksi. Kovalevyn salausta on nyt yritetty avata tietokonehuollossa puolitoista kuukautta mutta vielä ei ole avainta löytynyt. Ehkä ei koskaan!?

    VastaaPoista