tiistai 16. elokuuta 2016

Näin Locky-kiristysohjelma iskee

Kiristysohjelmat (ransomware) ovat edelleen yleisiä, mikä on pienoinen ihme. Jouduin tekemään paljon töitä, että sain kiristysohjelman toimimaan. Google poistaa niitä automaattisesti Gmail-viesteistä, Exchange-palvelin salli viestin vastaanottamisen mutta ei edelleenlähetystä ja Windows 10 Defender tarttui tiedostoon heti, kun sitä yritti tallentaa tai kopioida.

Koneessa, jossa on uusin käyttöjärjestelmä ja asetukset suunnilleen kunnossa, tätä kiristysohjelmaa on suorastaan vaikea saada toimimaan. Eikä suojaukseen tarvittu edes kaupallista torjuntaohjelmaa, Windowsin oma Defender riitti.

Tämä kiristysohjelman versio tuli Word-tiedostoliitteenä, jonka haitallisuus pitäisi näkyä otsaluullakin. Vierailta tulevat liitetiedostot, joiden päätteenä on .docm (Word-dokumentti makroilla) ovat aina haittaohjelmia. Simple as that.

Tämän selvempää virusliitettä tuskin voi olla.
Jos kaikesta huolimatta erehtyy avamaan tiedoston, tulee vielä varoituksia, joista tämä on ensimmäinen:

Älä käynnistä makroja!
Varoitukset ohittamalla pääsee eteenpäin, jolloin tuloksena on vain tyhjä Word-dokumentti. Siinä vaiheessa on jo myöhäistä: makro lataa koneeseen varsinaisen haittaohjelman ja hetken kuluttua työpöytä vaihtuu tämän näköiseksi:

Locky on iskenyt.
Locky korvaa taustakuvan omallaan. HELP-instructions tiedostossa on samat ohjeet html-versioina, jolloin linkit toimivat suoraan napsauttamalla. Taustakuvasta on ilmeisesti eri kielille käännettyjä versioita, mutta suomea ei tueta -- siksi teksti on vain englanniksi.

Testikoneessa oli Windows 8.1, jonka Defender ei ole Kympin tasoa. Se heräsi vasta, kun haittaohjelma oli jo iskenyt -- mutta heräsi kuitenkin.

TOR-verkon kautta päästään kiristäjän omalle palvelimelle, joka tunnistaa myös suomalaiset uhrit:

Maksuohjeet Bitcoineina suomeksi.
Lockyn ensimmäiset versiot pyysivät 0,5 Bitcoinia (BTC), mutta sen jälkeen kiristäjät ovat käyneet ahneiksi. Uudessa versiossa summa on jo 3 BTC, mikä päivän kurssilla vastaa 1500 euroa. Harkitsematon toiminta voi siis maksaa tuplasti enemmän kuin uusi tietokone.

Rikolliset ovat tehneet Bitcoin-maksamisen mahdollisimman helpoksi. Toisaalta ohjelma salakirjoittaa myös wallet.dat-tiedoston (jossa uhrin Bitcoinit yleensä sijaitsevat), mikä vaikeuttaa maksamista.

Locky on salakirjoittanut koneen työtiedostot ja korvannut niiden nimet pitkillä numerosarjoilla. Tiedostotyyppinä näkyy .locky. Tässä oli kyseessä kiristysohjelman Zepto -versio ja siksi tyypiksi tuli .zepto.

Joidenkin kiristysohjelmien salaus on murrettavissa, mutta Lockyn tapauksessa on paras kaivaa tiedostot varmuuskopioista. Maksaminen ei ole suotavaa, koska se vain ruokkii uusia yrittäjiä.

Ilmeisesti jokainen uhri saa oman Bitcoin-osoitteen, koska tähän osoitteeseen 1JqXV6icQJm9ZiJJo7cGHMeBod3jB1rYFC ei oltu tehty yhtään transaktiota.

Pari Locky/Zepto -iskua yritykseen maksaa enemmän kuin henkilökunnan kouluttaminen varovaisiksi. Itseopiskelussa kannattaa myös muistaa, miten epäilyttävät tiedostoliitteet avataan turvallisesti.

Lisäys 17.8.2016: Näyttää siltä, että vaikka Locky/Zepto kryptaa myös Dropbox-pilvipalveluun synkronoidun kansion, tiedostojen aiemmat versiot voi palauttaa. Paikallisen levyn shadow-kopiot Locky poistaa, joten niistä ei ole apua. 

Ei kommentteja:

Lähetä kommentti