Kryptovirukset ja niiltä suojautuminen

Viime päivinä on uutisoitu runsaasti maailmalla levinneestä Wannacry-kryptoviruksesta (käytetty myös nimiä WCry, WannaCryp0r, WannaCrypt, WanaDecrypt0r ja WanaCrypt0r 2.0), joka levisi tehokkaasti yritysten sisäverkoissa ja salasi käyttäjien tiedostoja.

Virus aiheutti merkittävää haittaa pysäyttämällä mm:

  • – autotuotannon Renaultin tehtailla Ranskassa
  • – aikataulunäyttöjä Deutche Bahnin juna-asemilla Saksassa
  • – polttoainejakelun arviolta 20 000 bensa-asemaa Kiinassa
  • – yli 50 sairaalaa Englannissa ja Jakartassa

Muita tunnettuja viruksen uhreja olivat mm. teleoperaattorit Telefonica ja MegaFon, autovalmistaja Nissan, monialayritys Hitachi ja kuriiriyhtiö FedEx.

Mutta miten nämä tietoja salaavat virukset ja haittaohjelmat sitten toimivat ja miten niiltä suojaudutaan? Alle on koostettu muutamia tietoja:

Mikä tarkalleen ottaen on kryptovirus/ransomware-ohjelma?

Ne ovat viruksia ja haittaohjelmia, jotka salaavat käyttäjien tiedostot siten, ettei niitä voi käyttää. Tiedostot kyllä näkyvät laitteella, mutta niitä ei pysty käyttämään. Tiedostot ovat ikäänkuin ”panttivankeina” ja salauksen voi purkaa maksamalla virusten tekijöille / levittäjille lunnasrahat. Lunnasrahan maksamista ei suositella, sillä se kannustaa levittäjiä jatkamaan viruksen levitystä ja takeita siitä, että tiedostot saadaan ”avattua” maksun jälkeen, ei ole. Virusten tekijöiden ja levittäjien motiivina on puhtaasti raha ja lunnasvaatimus on tyypillisesti jotakin 300€:n ja 1500€:n välillä.

Miten ne leviävät?

Tyypillisesti haittaohjelmat ja virukset leviävät sähköpostin välityksellä ja kodin tai yrityksen lähi-/sisäverkossa saastuneen tietokoneen kautta. Esimerkiksi sähköpostitse tuntemattomalta lähettäjältä tulee viesti, jossa on liitteenä tiedosto. Tiedosto saattaa näyttää esim. pdf- tai tekstitiedostolta, mutta sisältää haittaohjelman.

Mikäli liitetiedostoa yritetään avata, virus aktivoituu. Tiedostojen salaus saattaa alkaa heti tai vasta myöhemmin. Aktivoitumisen jälkeen virus alkaa ”pommittaa” myös muita sisäverkon laitteita ja pyrkii pääsemään myös niiden sisään. Vastaan on tullut myös tapauksia, joissa kryptovirus on levinnyt toiseen tietokoneeseen pilvipalvelun kautta.

HUOM! Viitteitä siitä, että Wannacry-virusta olisi aktiivisesti levitetty sähköpostin välityksellä, ei ole. Wannacry käytti hyväkseen aiemmin havaittua ns. Windowsin nollapäivähaavoittuvuutta, jonka avulla virus pystyi tunkeutumaan sisäverkkoon suoraan internetistä.

Ovatko kryptovirukset yleisiä?

Ne ovat kovasti yleistymään päin. Tähän vastaa mielestäni parhaiten F-Securen tekemä ”virusaikajana” viime vuosilta, jossa näytetään, miten erilaisten salaavien virusten havainnot ovat lisääntyneet viime vuosina:

https://newsfromthelab.files.wordpress.com/2017/04/ransomware-timeline-2010-2017.png?w=1024&h=596

Tietokoneeseeni iski kryptovirus, enkä halua maksaa lunnasrahaa tiedostoista. Mitä teen?

Tällaisessa tapauksessa tiedostojen palautus varmuuskopiosta on käytännössä varmin tapa palauttaa tiedostot siihen tilaan, jossa ne olivat ennen kryptovirusta.

Mikäli varmuuskopiota ei ole, voi palautusta yrittää ns. varjokopioista, joka löytyy sisäänrakennettuna Windows-käyttöjärjestelmistä. Jotkin kryptovirukset kuitenkin poistavat varjokopiot, kun ne aktivoituvat, joten saattaa olla, ettei palautus varjokopioista onnistu.

Joihinkin kryptoviruksiin on myös verkosta saatavilla työkaluja, joilla salauksen saa purettua. Näitä työkaluja on kuitenkin saatavilla vain murto-osaan viruksista.

Miten voin suojautua kryptoviruksilta ja ransomware-ohjelmilta?

  • – Käytä ajantasalla olevaa tietoturvaohjelmistoa.
  • – Pidä tietokoneesi päivitettynä.
  • – Tee säännöllisiä varmuuskopioita tärkeistä tiedostoistasi esim. USB-tiku(i)lle tai ulkoiselle kovalevylle ja irrota muisti/asema tietokoneesta varmuuskopioinnin jälkeen.

Listan viimeisen kohdan tärkeyttä ei voi liikaa korostaa. Jos tiedostoja salaava pääsee tietokoneeseen, ainut varmin tapa korjaukseen on tiedostojen palautus varmuuskopiosta.

Tärkeää on myös muistaa irrottaa muistitikku/-asema tietokoneesta sen jälkeen, kun varmuuskopio on tehty; jos se on kiinni tietokoneessa kun virus iskee, salaa se myös sillä olevat tiedostot.