TIETOTURVA Parhaillaan leviävän Petya-kiristyshaittaohjelman tuoreesta muunnoksesta on ollut Viestintäviraston viimeisten tietojen mukaan paljon havaintoja maailmalla muun muassa Ukrainassa, Yhdistyneissä kuningaskunnissa, Espanjassa, Alankomaissa, Norjassa, Tanskassa ja Ranskassa. Haittaohjelma salaa tietokoneen tiedostot ja vaatii lunnaita.
Reilu kuukausi sitten maailmanlaajuisessa tietoturvahyökkäyksessä käytettiin WannaCry-haittaohjelmaa, joka saastutti yli 200 000 konetta yli 150 maassa. Tapahtuman yhteyttä uuteen hyökkäykseen ei ole vahvistettu. Päivän Lehti kirjoitti asiasta tässä.
Kyberturvallisuuskeskus on saanut ilmoituksia myös Suomessa tapahtuneista tartunnoista. Viestintävirasto suosittelee ilmoittamaan mahdollisista aiheeseen liittyvistä havainnoista esimerkiksi lomakkeellaan. Kohteena ovat toistaiseksi olleet pääsääntöisesti yritykset.
Kiristyshaittaohjelma leviää yritysten sisäverkossa usealla eri tavalla, joten pelkkä koneiden päivitys ei suojaa kokonaan tartunnoilta. Petya-kiristyshaittaohjelma leviää sisäverkossa ainakin MS17-010-haavoittuvuuden avulla (EternalBlue) sekä Psexec- ja Wmiexec-tekniikoilla.
Psexec:in ja Wmic:n avulla haittaohjelma pystyy leviämään erittäin aggressiivisesti myös päivitettyihin koneisiin hyödyntämällä koneella saatavissa olevia käyttäjätunnuksia ja saastuttamaan muita sisäverkon laitteita, joihin voi kirjautua samoilla tunnuksilla. Erityisesti ylläpitotunnuksia sisältävät laitteet voivat saastuttaa nopeasti koko verkon.
Haittaohjelman leviämistavasta muuten kuin sisäverkossa ei ole vielä varmaa tietoa. Viestintävirasto seuraa asiaa Kyberturvallisuuskeskuksessa ja ilmoittaa, kun tarkempia tietoja on saatavilla.
MS17-010-haavoittuvuudelta voi suojautua asentamalla Windowsin korjauspäivitykset. Haavoittuvuus on korjattu maaliskuun päivityspaketissa. Psexec- ja Wmiexec-leviämistapoja voi rajoittaa estämällä Group Policyn avulla admin$-levyjaon käytön. Applockerin avulla voi estää ’perfc.dat’-nimen sisältävien tiedostojen suorituksen
Haittaohjelma pyrkii ylikirjoittamaan kiintolevyn MBR-käynnistyslohkon ja se käynnistää tietokoneen uudelleen tunnin päästä tartunnasta, jolloin käyttöjärjestelmän sijaan käyttäjälle esitetään lunnasvaatimus ja tiedostot salataan.
Mikäli haittaohjelma ei onnistu ylikirjoittamaan kiintolevyn MBR:ää, aloittaa se välittömästi tietokoneella olevien tiedostojen salauksen.
Kommentoi Facebookissa