Siirry sisältöön

Ajankohtaisia teemoja

Petya-kiristysohjelman usein kysytyt kysymykset: Tunnetut ja tuntemattomat tosiasiat

Simo Ristolainen

29.06.17 3 min. lukuaika

Onko haittaohjelman nimi edelleen Petya?

Kyllä.

Microsoft Defender tunnisti ohjelman nimeksi “Petya.A”.

“Olemme todentaneet, että Petyan MBR-koodi joulukuulta on samaa muottia kuin nykyisen ohjelman MBR-koodi”, sanoo palvelujohtaja Karmina Aquino F-Secure Labsista. “Ne eroavat vain vähän toisistaan.”

 

Onko Petya kiristysohjelma?

Kyllä on.

 

Tekeekö Petya muuta kuin salaa tiedostoja ja pitää niitä panttivankina?  

Petya varastaa myös salasanoja, koska se tarvitsee ne käyttöönsä. Verkkomadot varastavat salasanoja, joten tämäkin verkkomato varastaa salasanoja.

Microsoftin mukaan Petya on toimitusketjun kautta iskevä haittaohjelma, joka hyödynsi NSA:n tunnistamia ja Shadowbrokers-hakkeriryhmän levittämiä EternalBlue- ja EternalRomance-haavoittuvuuksia. Tämä tarkoittaa, että tietokoneella, joka hyödynsi MEDocin ohjelmiston päivitysprosessia, oli kolmannen osapuolen ohjelmisto.  MEDoc-palvelimet toimivat välittäjinä hyökkäyksessä.

On kuitenkin liian aikaista tietää varmasti tai edes spekuloida asialla. F-Securen tiedossa on, että Petyan kryptaus on rikki, mutta ei varmuutta onko tämä tahallista vai ei, ei ole.

“Tuntemattomia tosiasioita on liikaa tällä hetkellä”, sanoo F-Securen tietoturva-asiantuntija Sean Sullivan.

 

Voiko Petya iskeä myös kotikäyttäjiin vai ainoastaan verkkoihin?

“Olemme huomanneet, että Petya salaa tiedostoja, vaikka ne eivät olisi yhteydessä verkkoon”, sanoo Karmina. “Kuitenkin sen perusteella mitä olemme nähneet, näyttää siltä, että Petyan kohderyhmä on yrityksen, kuten aiemmissakin versioissa.”

 

Onko jokin kansallisvaltio Petyan takana?

“En veikkaisi sen puolesta tällä hetkellä”, sanoo Sean.

Karmina lisää: ”Olemme tarkistaneet koodin ja toistaiseksi ei ole mitään todisteita siitä, että tämä haittaohjelma olisi mitään muuta kuin kiristysohjelma.”

 

Onko edelleen todennäköistä, että ammattilaiset ovat Petyan takana?

On spekuloitu, että koska haittaohjelma käyttää sähköpostiosoitetta, jonka palveluntarjoaja sulki, kyseessä olisi kansallisvaltio tai amatöörijoukko. Kiristysohjelma ei kuitenkaan toimi tällä tavoin.  ”Rikolliset haluavat maksun”, Sean sanoo. ”He eivät voi käyttää telepatiaa tai kirjekyyhkyjä.”

Kuten Sean Twitterissä selitti, on vain kaksi tapaa, jolla verkkorikolliset saavat maksun “asiakkailtaan” —sähköposti tai nettiportaali. Petya käyttää sähköpostia, kuten suurin osa salaus-kiristysohjelmista.

Kun tutkimme kiristysohjelmien tekijöitä, neuvottelu tapahtui lähes yksinomaa sähköpostin välityksellä. Vain toinen portaalia käyttävistä kiristysohjelmien tuottajista vastasi. Kaikki kolme sähköpostia käyttävää kiristysohjelmaa vastasivat ja olivat ammattimaisempia kuin moni ohjelmistotalo.

 

Onko Petyassa sammutuskytkintä?

Ei, sammutuskytkin on keskitetty ratkaisu.

WannaCryssa ei myöskään ollut sammutuskytkintä. Siinä oli jäljityksenestotoiminto, joka tarkisti olematonta verkkotunnusta. Haittaohjelmistoissa on usein ”pupputarkistin” joka estää virtuaalikoneiden tekemän ohjelman analysoinnin.  Tutkija havaitsi keinotekoisen verkkotunnuksen, joka hälytti uhasta virtuaalikoneessa ja rekisteröi sen. Tämän jälkeen tarkistin ei enää päästänyt WannaCryta suorittamaan toimintojaan. Emme ole havainneet tätä Petyan kanssa.

 

Onko olemassa rokotusta Petyalle?

Haittaohjelmille on yleistä, etteivät ne tartu kahta kertaa. Tällöin ne joutuisivat loputtomaan kierteeseen ja paljastuisivat. On olemassa monia työkaluja tavalliselle kiristysohjelmalle, joka hyödyntää haittaohjelman sisäänrakennettuja työkaluja ja estää sen analysoinnin. On myös paljon haittaohjelmistoja, jotka eivät tartu, mikäli käyttää kyrillistä näppäimistöä tai venäläistä IP-osoitetta.  Rokotuksena voisi levittää markkereita, jotka saavat koneen näyttämään virtuaaliselta tai venäläiseltä koneelta. Mutta mikäli nämä temput yleistyvät, haittaohjelmat mukautuvat niihin.

Petyalle on olemassa rokotus, mutta sen ottaminen ei välttämättä kannata.

”Mikäli ehtii ottaa rokotuksen käyttöönsä, on varmasti parempaakin tekemistä kuin varustautua kiristysohjelman varalle”, Sean sanoo. ”Päivitä Microsoft, poista kaikki ohjelmistot, joita et käytä, hanki salasanojen hallintatyökalu, päivitä salasanat… On paljon asioita, joilla voi varautua haittaohjelmien varalle. Hoida perusasiat kuntoon.”

Tässä vielä lisää asioita, joita yrityksesi voi tehdä päihittääkseen Petyan.

 

Onko salausavaimen tarjoava sähköpostiosoite kaatunut?

Kyllä, F-Secure Labs tarkisti ja sähköpostit herjaavat takaisin.

Palvelun tarjoava Posteo sanoo ”olevansa yhteydessä Kansalliseen tietotekniikan tietoturvakeskukseen (Bundesamt für Sicherheit in der Informationstechnik).”

 

Voivatko yritykset maksaa lunnaat?

Eivät tällä hetkellä. Tämä eristää uhrit tehokkaasti, mutta ei lopullisesti.

Tämä katkaisu ei kuitenkaan tarkoita, että ei ole toista tapaa, jolla nämä roistot tienaavat, sillä heillä on edelleen takaovi haittaohjelmaan.

“Nämä henkilöt saattavat pystyttää portaalin”, Sean sanoo. ”He voisivat myydä salauksen purkuavaimia muille rikollisille.”

Tai he saattavat olla tekemättä mitään ja jatkaa eteenpäin.

”Jos se vaikuttaa sydämettömältä tai resurssien tuhlaamiselta, et tunne kyberrikollisia”, Sean sanoi. ”Ensi tiistaina, kun seuraava erä roskapostia lähtee matkaan, he ovat jonkin muun jäljillä, mikä voisi tehdä heille rutkasti rahaa.”

 

Voiko pelastaa tiedostonsa, jos sammuttaa koneen nähdessään merkit CHKDISK ruudulla?

Ilmeisesti ei.

 

Onko olemassa salauksen purkutyökalu, jonka joku niin kutsuttu valkohattuhakkeri (eettinen hakkeri) on luonut?

Tutkimme tätä parhaillaan.

 

Suojaavatko F-Securen tuotteet laitteitani Petyalta?

Kyllä, F-Securen tuotteet päätelaitteille torjuvat kaikki Petyan muodot.

Simo Ristolainen

29.06.17 3 min. lukuaika

Kategoriat

Aiheeseen liittyvät julkaisut

Newsletter modal

Kiitos kiinnostuksestasi uutiskirjettämme kohtaan. Saat piakkoin sähköpostin, jotta voit vahvistaa uutiskirjeen tilauksesi.

Gated Content modal

Onneksi olkoon – voit nyt tutustua sisältöön klikkaamalla alla olevaa painiketta.