Autoreporterin haittaohjelmahavainnot

Mikä?

Gamarue on erityisen pahantahtoinen haittaohjelma, joka on saanut maailmanlaajuista jalansijaa. Erityisen paljon sitä on havaittu Aasiassa. Useita vuosia vanha Gamarue on yksi vaarallisimmista Windows-boteista.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Gamarue mahdollistaa hakkereille yksittäisten tietokoneiden hallinnan, informaation varastamisen ja asetusten muutokset. Bottiverkko on verkosto altistuneita tietokoneita, jotka kommunikoivat hallintapalvelimille (command and control servers).

Bottiverkkoa käytetään useisiin erilaisiin kyberrikoksiin. Päämääränä on yleensä saada hallintaan tarpeeksi suuri infrastruktuuri, jotta siitä voidaan etsiä arkaluonteisia tietoja. Rahastus tapahtuu kiristämisen tai esim. haittaohjelmien tai roskapostien levittämisen kautta. Gamarue bottia myydään pakettina "Andromeda Builder” -nimellä, paketti sisältää hinnasta riippuen erilaisia lisäosia joilla helpotetaan rikosten tekemistä.

Gamaruen päämääränä on levittää muita haittaohjelmaperheitä. Muiden haittaohjelmien asennus laajentaa bottiverkon skaalaa ja kapasiteettia. Gamarue levittää erityisesti kiristyshaittaohjelmia, troijalaisia ja takaovia (eng. backdoor).

Suojautuminen tältä haittaohjelmalta

• Käytä virustorjuntaohjelmistoa.
• Klikkaile harkiten, sillä sähköpostit voivat sisältää linkkejä tai liitetiedostoja joiden kautta haittaohjelmat voivat levitä.
• Huolehdi varmuuskopioista.
• Käytä kunnollista salasanaa ja mahdollisuuksien mukaan myös monivaiheista tunnistautumista.
• Älä käytä samoja salasanoja monessa palvelussa.
• Pidä ohjelmisto- ja käyttöjärjestelmäpäivitykset ajan tasalla.

Mitä tehdä tartunnan havaitsemisen jälkeen?

Virustorjuntaohjelmisto yleensä poistaa haittaohjelman, tai vähintäänkin ilmoittaa tehneensä toimenpiteitä. Epäilyttävän linkin klikkaamisen jälkeen suosittelemme ajamaan virustorjuntaohjelmiston koko järjestelmän skannauksen. Varmimmin haittaohjelmasta pääsee eroon asentamalla käyttöjärjestelmän uudelleen. Vaihda myös salasanat, sillä haittaohjelmat voivat varastaa tietoja.

Mikä?

Verkkorikollisryhmä Avalanche tarjoaa tietojen kalastelua ja haittaohjelmien levitystä palveluna muille rikollisille. Ryhmä käyttää ja levittää useita haittaohjelmaperheitä. Autoreporter-palvelun havaintolähteet eivät pysty yksilöimään verkkoliikenteestä kaikkia Avalanche-ryhmän haittaohjelmia, mutta tunnistavat sen, kun saastunut tietokone ottaa yhteyttä ryhmän käyttämiin komentopalvelimiin.

Avalanche viittaa suureen globaaliin tietoverkkoon. Tietoverkossa ylläpidetään kyberrikollisten käyttämää infrastruktuuria, jonka avulla tehdään esimerkiksi kalastelu- ja haittaohjelmien levityskampanjoita.

Järjestelmä, jossa on Avalancheen liittyvä haittaohjelmatartunta, voi olla kohteena pahantahtoiselle toiminnalle, joka voi sisältää käyttäjätunnusten ja muiden arkaluontoisten tietojen kuten pankki- tai luottokorttitietojen varastamista. Osalla haittaohjelmista on kyky salata tiedostot ja vaatia uhrilta lunnaita, jotta uhri pääsee niihin taas käsiksi. Haittaohjelmatartunta voi myös mahdollistaa etäyhteyden saastuneeseen koneeseen ja tartunnan saaneita koneita voidaan käyttää hajautettujen palvelunestohyökkäyksien tekemiseen.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Kyberrikolliset käyttävät Avalanche bottiverkkoinfrastruktuuria ylläpitämään tai levittämään erilaisia haittaohjelmavariantteja uhreille. Kohteena on ollut ainakin 40 suurta rahoituslaitosta. Uhrien arkaluontoiset ja henkilökohtaiset tiedot on voitu varastaa ja vaarantuneita järjestelmiä on voitu käyttää muuhun pahantahtoiseen toimintaan. Toiminta on sisältänyt esimerkiksi palvelunestohyökkäysten aloittamista tai haittaohjelmavarianttien välittämistä uhrikoneille. Avalanchen infrastruktuuria on käytetty myös rahanpesuun, ihmisiä on houkuteltu tekemään petoksia kuljettamalla ja varastamalla rahaa tai kauppatavaraa.

Avalanche käyttää fast-flux DNS-tekniikkaa eli nopeasti vaihtuvaa komentopalvelininfrastruktuuria, joka koostuu murretuista palvelimista. Avalanchen ylläpitämässä infrastruktuurissa majailevat ainakin seuraavat haittaohjelmaperheet:

• Windows-encryption Trojan horse (WVT) (aka Matsnu, Injector, Rannoh, Ransomlock.P)
• URLzone (aka Bebloh)
• Citadel
• VM-ZeuS (aka KINS)
• Bugat (aka Feodo, Geodo, Cridex, Dridex, Emotet)
• newGOZ (aka GameOverZeuS)
• Tinba (aka TinyBanker)
• Nymaim/GozNym
• Vawtrak (aka Neverquest)
• Marcher
• Pandabanker
• Ranbyus
• Smart App
• TeslaCrypt
• iBanking Trusteer App Trojan
• Xswkit  

Avalanchea käytetään myös fast flux bottiverkkona, ja sen tarjoamaa infrastruktuuria käytetään mahdollistamaan ainakin seuraavien bottiverkkojen kommunikaatiota:

• TeslaCrypt
• Nymaim
• Corebot
• GetTiny
• Matsnu
• Rovnix
• Urlzone
• QakBot (aka Qbot, PinkSlip Bot)

Suojautuminen tältä haittaohjelmalta

• Käytä virustorjuntaohjelmistoa ja pidä se päivitettynä.
• Huolehdi päivitysten, tietoturvapäivitysten ja käyttöjärjestelmän ajantasaisuudesta.
• Älä klikkaile harkitsemattomasti sähköpostitse tai tekstiviestitse saapuvia linkkejä, tutultakin näyttävän linkin takana voi olla huijari. Järkevintä on mennä suoraan sivustolle selaimen tai kirjanmerkin kautta.
• Vaihda salasanoja säännöllisesti, älä myöskään kierrätä salasanoja palveluiden välillä.

Mitä tehdä tartunnan havaitsemisen jälkeen?

• Epäilyttävän linkin klikkaamisen tai epänormaalin toiminnan havaitsemisen jälkeen suosittelemme ajamaan virustorjuntaohjelmistolla koko järjestelmän skannauksen.
• Markkinoilla on paljon työkaluja, jotka voivat auttaa havaitsemaan ja poistamaan nimenomaan haittaohjelmia.

Salasanojen vaihtaminen on tärkeää, jos laitteessa on ollut haittaohjelmatartunta

Mikä?

Bamital-haittaohjelmaperhe sieppaa selaimen verkkoliikennettä ja estää pääsyn tietyille turvallisuuteen liittyville verkkosivuille muokkaamalla nimipalvelukyselyihin liittyvää Hosts-tiedostoa. Bamital-variantit voivat myös muokata joitakin oikeita Windows-tiedostoja saadakseen suoritettua hyväksikäyttökoodinsa. Bamital asentuu usein haittaohjelmia levittävän murretun verkkosivun kautta.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Bamital-haittaohjelmaa on käytetty mainoksiin liittyvissä klikkipetoksissa (click-fraud) ja haittaohjelman päätarkoitus on kaapata selaimen hakutuloksia. Bamital myös luo käyttäjästä riippumatonta verkkoliikennettä kuten vierailuja verkkosivuille. Bamital-haittaohjelmaa jaetaan verkkosivuilla vieraileville automaattisesti ja käyttäjien tietämättä sekä pahantahtoisten tiedostojen avulla vertaisverkoissa (P2P). 

Haittaohjelmaa levitetään haitallisten verkkosivujen kautta (exploit kit). Haittasivustolla on käytössään joukko haavoittuvuuksia, joita yritetään hyödyntää hyökkäyksessä uhrin selainta vastaan haittaohjelman asentamiseksi.

Bamital-troijalaisen asentumisen jälkeen haittaohjelma alkaa varastaa tietoa uhrin laitteelta tai estää laitteen normaalia toimintaa. On myös mahdollista, että laitteella näkyy lunnasvaatimus, jossa pyydetään maksamaan lunnaat, jotta tietoja tai tiedostoja voi alkaa taas käyttää normaalisti.

Suojautuminen tältä haittaohjelmalta?

• Käytä ja kytke palomuuri päälle.
• Huolehdi käyttöjärjestelmän, ohjelmistojen ja virustorjuntaohjelmien päivityksien ajantasaisuudesta.
• Rajoita käyttäjien käyttötilien oikeuksia.
• Ole varovainen sähköpostien liitteiden avaamisen ja tiedostojen siirtojen kanssa.
• Älä klikkaile sähköpostien tai verkkosivujen linkkejä varomattomasti.
• Harkitse tarkkaan kannattaako laitteelle ladata ilmaisohjelmia.
• Käytä hyviä salasanakäytäntöjä, älä kierrätä salasanoja ja ota monivaiheinen tunnistautuminen käyttöön, mikäli mahdollista.

Mitä tehdä tartunnan havaitsemisen jälkeen?

Virustorjuntaohjelmisto yleensä poistaa haittaohjelman, tai vähintäänkin ilmoittaa tehneensä toimenpiteitä. Epäilyttävän linkin klikkaamisen jälkeen suosittelemme ajamaan virustorjuntaohjelmiston koko järjestelmän skannauksen. Varmimmin haittaohjelmasta pääsee eroon asentamalla käyttöjärjestelmän uudelleen. Vaihda myös salasanat, sillä haittaohjelmat voivat varastaa tietoja.

Mikä?

Hummer on piilohallintaohjelma (rootkit) joten sen poistaminen on erittäin vaikeaa. Laitteelle päästyään Hummer ottaa pääkäyttäjän oikeudet, esittää käyttäjälle mainoksia ja ryhtyy lataamaan sovelluksia, jotka voivat olla haitallisia tai kuluttaa akkua nopeasti. Hummer myös kerää henkilötietoja sekä erityisesti pankin käyttäjätunnus- ja salasanapareja.

Tämä haittaohjelma on suunniteltu Android-käyttöjärjestelmälle, joten esimerkiksi iPhonen käyttäjien ei tarvitse olla huolissaan Hummerista. Vaikka Hummer ei toistaiseksi olekaan rantautunut iPhonen iOS-käyttöjärjestelmään, on alla olevia ohjeita hyvä noudattaa myös iPhonea käytettäessä.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Hummer pyrkii korottamaan itselleen pääkäyttäjän oikeudet. Tämä toiminta johtaa lukuisiin pop-up mainoksiin ja taustalla asennetaan ei-haluttuja sovelluksia, pelejä, aikuisviihdesovelluksia ja haittaohjelmia. Mikäli käyttäjä poistaa asentuneet sovellukset, asentaa Hummer-troijalainen ne yhä uudelleen ja uudelleen.

Viimeisimpien tietojen mukaan Hummer-perheessä on yli 18 erilaista root-menetelmää. Tietoturvatutkijat ovat arvioineet, että Hummer saattaa olla yksi laajimmin levinneistä troijalaisista ja pahimmillaan se on saattanut vaikuttaa miljooniin puhelimiin.

Suojautuminen tältä haittaohjelmalta

• Sovelluksia ei tulisi koskaan ladata virallisen sovelluskaupan ulkopuolelta.
• Tekstiviesteissä olevia linkkejä ei pidä klikata harkitsemattomasti.
• Käytä virustorjuntaohjelmaa myös puhelimessa.
• Tarkkaile puhelimen toimintaa, esimerkiksi mahdollista hidastumista tai epätavallista käytöstä.
• Tunnetko puhelimesi sovellukset; mitä sovellusta tarvitset ja mitä mahdollisesti et? Havaitsetko sovelluslistasta epäilyttävän sovelluksen, jota et itse ole asentanut?
• Suojaa omat salasanasi, äläkä säilytä niitä kirjoitetussa muodossa esimerkiksi puhelimen muistiossa tai tallennettuna yhteystietona.
• Älä luovuta tuntemattomille henkilöille.
• Älä jaa käyttäjätunnuksia tai salasanoja viesteissä tai puhelimitse.

Mitä tehdä tartunnan havaitsemisen jälkeen?

Hummer-haittaohjelman poistaminen on erittäin työlästä. Hummer saa laitteen haltuunsa niin kokonaisvaltaisesti, että tavalliset virustorjuntatyökalut eivät poista sitä käytöstä. Tilannetta pahentaa se, että edes tehdasasetusten palauttaminen ei poista tätä haittaohjelmaa. Puhelin tulisi palauttaa puhtaasta järjestelmäkopiosta, mikään vähempi toimenpide ei riitä.

Mikä?

Prizmes on troijalaisten haittaohjelmien perhe, joka vaikuttaa Android-laitteisiin. Troijalaiset suorittavat toimintoja ilman käyttäjän suostumusta. Nämä toiminnot sisältävät esimerkiksi etäyhteyksiä, näppäimistön syötteiden seurantaa, järjestelmän tietojen keräämistä, tiedostojen lataamista, muiden haittaohjelmien lataamista vaarantuneeseen järjestelmään, palvelunestohyökkäyksiä ja prosessien suorittamista tai päättämistä.

Mikä?

Mirai on haittaohjelma, joka tartuttaa älylaitteita ja kotireitittimiä. Mirai muodostaa älylaitteista etänä hallittavan botti- tai zombi-laitteiden verkoston. Tätä bottilaitteiden verkostoa käytetään usein hajautettujen palvelunestohyökkäysten käynnistämiseen. Loppuvuodesta 2016 Mirain bottiverkosto kaatoi suuria osia Internetistä, monet suositut palvelut hidastuivat merkittävästi ja vaikutukset ulottuivat miljooniin käyttäjiin.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Mirai skannaa internetiä ja etsii IoT-laitteita, jotka käyttävät ARC-prosessoreita. Laitteet voivat olla mitä tahansa maatalouden laitteista, kastelujärjestelmistä, valvontakameroista tai autoista aina älyjääkaappiin asti. ARC-prosessoreissa käytetään pelkistettyä versiota Linux-käyttöjärjestelmästä. Mikäli oletuskäyttäjätunnus ja salasanaparia ei ole muutettu, kykenee Mirai kirjautumaan laitteelle ja saastuttamaan sen.

Mirain koodi on muuntautunut ajansaatossa myös moniksi muiksi varianteiksi kuten Okiru, Satori, Masuta tai PureMasuta. Myös IoTrooper ja Reaper voidaan jäljittää Miraihin. Reaper kykenee vaikuttamaan suureen määrään laitteiden kehittäjiä ja sillä on paljon kehittyneempi kontrollointikyky bottiverkostonsa osiin.

https://www.cloudflare.com/learning/ddos/glossary/mirai-botnet/

Suojautuminen tältä haittaohjelmalta

• Huolehdi laitteen päivitysten ajantasaisuudesta.
• Vaihda oletussalasanat.
• Pääsyn rajoittaminen (internetiin näkyvä verkko-osoite, käytä kotiverkkoa NAT:n kanssa - kotikäyttäjälle usein maksullista).

Mitä tehdä tartunnan havaitsemisen jälkeen?

Tartuntaa ei ole helppoa havaita itse, vaan yleensä operaattori ilmoittaa havainneensa, että kyseinen laite on osa bottiverkkoa.

Mikä?

Haittaohjelma, joka on suunnattu QNAPin valmistamiin verkkolevyasemiin (NAS). Haittaohjelma on suunnattu tarkasti kyseisen valmistajan laitteisiin, ja se kykenee monipuolisiin haitallisiin toimenpiteisiin tartutetussa kohteessa. Haittaohjelman pystyy poistamaan laitteesta, ja laitevalmistajalla on suojaava päivitys laitteiden turvaamista varten.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Tutkittaessa havaintoihin liitettyjä domainnimiä ja kutsuja, haittaohjelman toimintalogiikka saatiin avattua tarkemmin. Alkuperäinen tunkeutumistapa laitteen sisään on tuntematon, mutta tässä yhteydessä laitteen käyttöjärjestelmäkoodiin syötetään hyökkääjän lähdekoodia, joka suoritetaan osana laitteen normaaleja operaatioita. Tämän jälkeen laite on saastunut haittaohjelmalla. Haittaohjelma hakee generoimalla muodostuvista DNS-osoitteista lisää haitallista koodia.

Kutsumuoto on:

• "HTTP GET https://<generoitu osoite>/qnap_firmware.xml?t=<aikaleima>", ja tästä kutsusta pystyy erittäin vahvasti tunnistamaan saastuneen laitteen.
• Haettu lisämateriaali suoritetaan käyttöjärjestelmän sisällä järjestelmäoikeuksin. Tässä yhteydessä haittaohjelma tekee mm. seuraavaa:
• Muokkaa käyttöjärjestelmän ajastettuja töitä ja käynnistysoperaatioita (cronjob, init scripts).
• Estää päivitysten tekemisen oletusasetuksista ylikirjoittaen päivityslähteen kokonaan.
• Estää QNAPin MalwareRemover-toiminnon ajamisen.
• Varastaa laitteen käyttöön liittyvät tunnukset salasanoineen ja lähettää ne komentopalvelimelle.
• Haittaohjelmassa on myös modulaarinen kyky ottaa vastaan uusia komponentteja yllä olevien operaatioiden lisäksi tehtävien toimenpiteiden suorittamista varten.
• Kutsut komentopalvelimelle jäävät ajoon ajastetusti.

Suojautuminen tältä haittaohjelmalta

• Älä käytä oletussalasanoja ja vaihda oletuksena annetut admin-tunnukset.
• Muuta myös QNAP ID-salasana.
• Käytä vahvaa tietokannan root-salasanaa.
• Poista tuntemattomat tai epäilyttävät käyttäjätilit.
• Mahdollista IP- ja käyttäjätilisuojaus.
• Ota SSH- ja Telnet-yhteydet pois käytöstä, jos palveluita ei ole tarvetta käyttää.
• Poista käytöstä Web Server, SQL server tai phpMyAdmin-sovellus, jos niitä ei tarvita.
• Poista käytöstä huonosti toimivat, tuntemattomat tai epäilyttävät sovellukset.
• Vältä oletusporttien käyttämistä (portit 22, 443, 80, 8080 ja 8081).
• Poista käytöstä Auto Router Configuration ja Publish Services sekä rajoita pääsyä myQNAPcloud:n.

Mitä tehdä tartunnan havaitsemisen jälkeen?

Suorita ensin tehdasasetusten palautus. Tämän jälkeen suositellaan firmwaren päivittämistä ja päivitysten onnistumisen varmentamista. Muista, että haittaohjelman tuhoamisen lisäksi nämä toimenpiteet tuhoavat myös laitteella olevat tiedot.

Mikä?

Nymaim on "Trojan downloader" eli haittaohjelma, joka lataa ja suorittaa muita haittaohjelmia altistuneissa järjestelmissä. Usein tätä haittaohjelmaa on käytetty asentamaan kiristyshaittaohjelma. Nymaim näyttää personoidun lukitusruudun, kun se lataa toista haittaohjelmaa. Nymaim leviää hyväksikäyttöpakettien (exploit kits) ja pahantahtoisen mainostuksen (malvertising) avulla.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Nymaimia välitetään hyväksikäyttöpakettien tai tiedostojen välityksellä, yleensä tiedostojen nimet liittyvät suosittuihin hakusanoihin, joita ladataan myös muista pahantahtoisista lähteistä. Nymaim näyttäytyy koneella esim. pop-up mainosten muodossa. Käyttöjärjestelmä voi myös hidastua merkittävästi ja internet selaimessa voi olla tavallisuudesta poikkeava määrä mainoksia.

Mikäli Nymaim suoritetaan laitteessa, se yrittää lukita ruudun tai ladata muita haittaohjelmia. Mikäli käyttäjä sijaitsee Euroopassa tai Pohjois-Amerikassa haittaohjelma lataa kustomoidun lukitusruudun juuri käyttäjän kohdemaasta. Lukitusruudussa näytetään lunnasvaatimus. Mikäli käyttäjä sijaitsee maassa, jossa lukitusruutua ei ole kustomoitu, Nymaim lataa toisen vaiheen komponentin, jota voidaan käyttää myöhemmin uuden haittaohjelman lataamiseen.

Suojautuminen tältä haittaohjelmalta

• Mieti mistä lataat sovellukset ja arvioi lataamisen turvallisuus huolellisesti. Haittaohjelma voi levitä ilmaisohjelmien välityksellä.
• Älä klikkaile harkitsemattomasti. Sähköpostien linkkien kautta voidaan levittää haitallista sisältöä.
• Mieti kahdesti ennen sähköpostin liitteiden lataamista.
• Harkitse tarkkaan mistä ja mitä ohjelmia lataat, asennat ja suoritat laitteella.
• Huolehdi, että käyttöjärjestelmä ja sovellukset ovat saaneet viimeisimmät päivitykset.
• Pidä virustorjuntaohjelmistosi käytössä ja ajantasaisena.
• Virustorjuntaohjelma yleensä poistaa haittaohjelman, tai vähintäänkin ilmoittaa tehneensä toimenpiteitä.

Mitä tehdä tartunnan havaitsemisen jälkeen?

• Epäilyttävän linkin klikkaamisen tai epänormaalin toiminnan havaitsemisen jälkeen suosittelemme ajamaan virustorjuntaohjelmistolla koko järjestelmän skannauksen.
• Markkinoilla on paljon työkaluja, jotka voivat auttaa havaitsemaan ja poistamaan nimenomaan haittaohjelmia.
• Salasanojen vaihtaminen on tärkeää, jos laitteessa on ollut haittaohjelmatartunta.

Mikä?

Matsnu on haittaohjelma, joka voi suorittaa rikollisen tahon haluamia toimintoja etäpalvelimen (from a remote server) ohjeiden mukaisesti. Se myös muuttaa joitakin tietokoneen asetuksia. Tämä haittaohjelma kykenee lataamaan ja suorittamaan koodia saastuneessa järjestelmässä. Ladattu koodi voi potentiaalisesti salata tiedostoja tai levyjä sekä varastaa arkaluonteisia tietoja.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Takaovien kautta on mahdollista suorittaa komentoja, kuten latauksia ja tiedostojen suorittamista, päivityksiä haittaohjelmaan sekä sen komentopalvelimelle. Matsnulle tyypillistä toimintaa on kyky lukita tai avata tietokoneen lukitus komentojen avulla lunnaiden toivossa.

Suorittamisen yhteydessä muokataan tiettyjä rekistereitä, jotta voidaan sallia kopioiden suorittaminen jokaisen järjestelmän käynnistyksen yhteydessä. Joitakin prosesseja myös poistetaan käytöstä, näitä ovat esimerkiksi rekisterin muokkaustyökalu sekä task manager. Tietyt rekisterit poistetaan kokonaan, jotta käyttäjä ei voi käynnistää tietokonetta safe modessa.

Suojautuminen tältä haittaohjelmalta

• Käytä ja kytke palomuuri päälle.
• Huolehdi käyttöjärjestelmän, ohjelmistojen ja virustorjuntaohjelmien päivityksien ajantasaisuudesta.
• Rajoita käyttäjien käyttötilien oikeuksia.
• Ole varovainen sähköpostien liitteiden avaamisen ja tiedostojen siirtojen kanssa.
• Älä klikkaile sähköpostien tai verkkosivujen linkkejä varomattomasti.
• Harkitse tarkkaan kannattaako koneelle ladata ilmaisohjelmia.
• Käytä hyviä salasanakäytäntöjä, älä kierrätä salasanoja ja ota monivaiheinen tunnistautuminen käyttöön, mikäli mahdollista.

Mitä tehdä tartunnan havaitsemisen jälkeen?

• Tapa prosessit, jotka ovat saastuneet (prosessit, joka tuottavat ulospäin suuntautuvaa verkkoliikennettä).
• Tarkista rekisteriavaimien merkinnät saadaksesi tietoosi haittaohjelman tiedostonpolun järjestelmässä.
• Poista tiedostopolussa oleva tiedosto.
• Poista tietyt rekisteriavainmerkinnät.

Mikä?

Suomen- tai englanninkielinen huijaustekstiviesti hyödyntää paketti- ja vastaaja-teemaa ja sisältää linkin sivustolle. Viestissä väitetään esimerkiksi "Pakettisi olevan matkalla" tai "Sinulla on 1 uusi vastaajaviesti". Viesti sisältää linkin sovelluksen latausta tarjoavalle sivulle. Sivulla oleva latauslinkki tarjoaa Android-laitteille .apk-päätteistä asennuspakettia. Asennuspaketti ei ole virallinen sovellus, vaan se sisältää haittaohjelman. Asennuspaketti ei toimi iPhonella.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Haittaohjelmaa levittävä sivu voi ohjeistaa sallimaan tuntemattomien sovellusten asennuksen. Tämä mahdollistaa sovelluskauppojen ulkopuolisten sovellusten asentamisen Android-laitteelle. Tuntemattomien sovellusten asennusta ei tule sallia, sillä se mahdollistaa myös haitallisten sovellusten asentamisen laitteelle virallisen sovelluskaupan ohi.

Haittaohjelmien saastuttamilta laitteilta voidaan varastaa esimerkiksi salasanoja ja muita tietoja. Saastuneita laitteita käytetään myös lähettämään haittaohjelmaa eteenpäin. Haittaohjelma voi varastaa saastuneesta laitteesta yhteystietoja, joita hyödynnetään haittaohjelman levittämisessä. Haittaohjelma on kohdennettu Android-laitteille, eli varsinainen haittaohjelma ei voi saastuttaa esimerkiksi iPhonea. Tekstiviestistä aukeavan linkin takaa voi kuitenkin aueta muita huijaussivuja, kuten tilausansoja. Epäilyttävien viestien linkkejä ei kannata lähtökohtaisesti avata millään laitteella.

Suojautuminen tältä haittaohjelmalta

Haittaohjelma voi varastaa muun muassa salasanoja ja muita laitteella olevia tietoja. Tämän vuoksi omien käyttäjätilien suojaaminen monivaiheisella tunnistautumisella ja salasanojen vaihtaminen haittaohjelman saastuttaneella laitteella käytetyistä palveluista (mm. sähköposti ja sosiaalinen media) on tärkeää, jotta haittaohjelman varastamat tiedot eivät päädy huijareiden käyttöön.

Mitä tehdä tartunnan havaitsemisen jälkeen?

• Palauta laite tehdasasetuksille.
• Varmuuskopiosta palauttamisessa pitää varmistaa, että laitteelle palautetaan varmuuskopio, joka on luotu ennen haittaohjelman asentamista.
• Jos käytit pankkisovellusta tai käsittelit luottokorttitietoja saastuneella laitteella, ole yhteydessä pankkiisi.
• Tee rahallisista menetyksistä rikosilmoitus.
• Vaihda salasanat palveluihin, joita olet käyttänyt laitteellasi. Haittaohjelma on voinut varastaa salasanasi, jos olet kirjautunut palveluihin haittaohjelman asentamisen jälkeen.
• Ota yhteyttä operaattoriisi, sillä liittymästäsi on voinut lähteä maksullisia viestejä.

Mikä?

Ranbyus-troijalainen saattaa suorittaa pahantahtoisia toimintoja, kuten muiden haittaohjelmien lataamista ja suorittamista. Ranbyus myös vastaanottaa pyyntöjä komentopalvelimelta, toimittaa haluttua tietoa ja telemetriikkaa takaisin. Tämä haittaohjelma voi myös päivittää tai poistaa itsensä. Näiden lisäksi se voi varastaa myös kirjautumistunnuksia sekä salasanatietoja, tallentaa käyttäjän näppäinpainallukset, osallistuu hajautettuihin palvelunestohyökkäyksiin ja voi jopa lukita tai salata laitteen sisällön lunnaita vastaan.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Ranbyus-haittaohjelma voi näyttäytyä monella eri tavalla. Tietokoneen käynnistäminen vikasietotilassa saattaa olla estynyt. Windows rekisterieditorin käyttö tai Windows tehtävienhallinnan avaaminen voi osoittautua mahdottomaksi. Tietyissä rekisterimerkinnöissä voi olla muutoksia tai jotain rekisterimerkintöjä on voitu poistaa. Merkittävä kasvu sekä verkkoliikenteessä että tiedostojärjestelmätoiminnassa. Koneelta voi tapahtua yhteydenottoyrityksiä tunnettuihin pahantahtoisiin IP-osoitteisiin. Satunnaisesti nimettyjä uusia tiedostoja ja kansioita ilmestyy kansiohakemistoon.

Suojautuminen tältä haittaohjelmalta

• Käytä virustorjuntaohjelmistoa ja pidä se päivitettynä.
• Huolehdi päivitysten, tietoturvapäivitysten ja käyttöjärjestelmän ajantasaisuudesta.
• Älä klikkaile harkitsemattomasti sähköpostitse tai tekstiviestitse saapuvia linkkejä, tutultakin näyttävän linkin takana voi olla huijari. Järkevintä on mennä suoraan sivustolle selaimen tai kirjanmerkin kautta.
• Vaihda salasanoja säännöllisesti, älä myöskään kierrätä salasanoja palveluiden välillä.

Mitä tehdä tartunnan havaitsemisen jälkeen?

• Epäilyttävän linkin klikkaamisen tai epänormaalin toiminnan havaitsemisen jälkeen suosittelemme ajamaan virustorjuntaohjelmistolla koko järjestelmän skannauksen.
• Markkinoilla on paljon työkaluja, jotka voivat auttaa havaitsemaan ja poistamaan nimenomaan haittaohjelmia.
• Salasanojen vaihtaminen on tärkeää, jos laitteessa on ollut haittaohjelmatartunta.

Mikä?

Tinba-haittaohjelma pyrkii saastuttamaan päätelaitteen ja saavuttamaan pääsyn käyttäjän verkkopankkiin tai muille rahoja sisältäville tileille ja varastamaan käyttäjän rahoja. Tinba tai Tiny Banker -troijalainen on keskittynyt verkkopankkeihin kohdistuneisiin hyökkäyksiin erityisesti Venäjällä.

Tinba on kooltaan pienimpiä tiedossa olevia troijalaisia. Tinban lähdekoodi on julkaistu internetissä ja uusia variantteja haittaohjelmasta ilmestyy tasaiseen tahtiin.

https://www.imperva.com/learn/application-security/tiny-banker-trojan-tbt-tinba/

Miltä toiminta näyttää ja miten sitä toteutetaan?

Tinban saastumassa järjestelmässä selain saattaa käyttäytyä epätavallisesti tai järjestelmä voi kaatua. Tyypillistä on, että pankin sivustolla näkyy odottamaton ponnahdusikkuna, jossa pyydetään tekemään jotain tavallisuudesta poikkeavaa kuten syöttämään siihen käyttäjään arkaluontoisia tietoja.

Mikäli Tinba on saastuttanut koneen ja käyttäjä yrittää kirjautua johonkin haittaohjelman kohteena olevaan pankkiin, aktivoituvat Tinban webinjektiot. Riippuen kohteena olevasta pankista, uhreille esitetään valheellisia viestejä tai nettilomakkeita, joilla pyydetään henkilö- tai kirjautumistietoja tai varojen siirtoa. Viesteistä liikkuu myös versiota, jossa käyttäjälle kerrotaan, että tämän tilille on vahingossa siirretty rahaa, joka tulee palauttaa välittömästi.

Tinba saastuttaa järjestelmiä ja selaimia useilla eri tavoilla varastoiden pankkisivuille ja sivuilta tulevaa dataa. Käyttäjän kirjautuessa pankin sivuille pahantahtoinen ponnahdusikkuna ilmestyy pyytämään kirjautumistietoja ja esiintyy virheellisesti alkuperäisen logon ja pankin osoitteen nimissä.

Saastuneet sivustot voivat levittää Tinbaa, uhrit on houkuteltu sivuille kalastelusähköpostien tai virheellisen mainossisällön avulla. Haavoittuvan järjestelmän suorittaessa Tinba-haittaohjelmaa, se kopioituu bin.exe -nimen alle %AppData% -kansioon. Jotkut versiot Tinbasta päätyivät muihin kansioihin, variantit saivat nimensä saastuneen järjestelmän tiedoista. Tinba salaa sen muistinkäytön välttääkseen kiinnijäämistä.

Saastuneen järjestelmän uudelleen käynnistymisen yhteydessä, bin.exe suoritetaan ja Tinba ottaa vakaan jalansijan järjestelmässä. Tinba voi muokata selaimia kuten Firefoxia ja Exploreria ja estää varoitusviestien näkymisen sekä näyttää HTTP-sisältöä HTTPS-sivuilla ilman huomautuksia. Tinba kohdistuu esim. Windowsin explorer.exe ja svchost.exe prosesseihin.

Suojautuminen tältä haittaohjelmalta

Tinba saastuttaa koneen tyypillisesti ladatun ilmaisohjelma kautta, kalasteluviestien saastuneiden linkkien tai liitteiden avulla. Tinba voi levitä myös, mikä käyttäjä klikkaa ponnahdusikkunaa tai lataa sisältöä dark webistä tai torrent-tiedostoista.

Pankkitroijalaiset ovat hienovaraisia haittaohjelmia, ne odottavat ja piilottelevat saastuneessa järjestelmässä niin kauan, että käyttäjä aikoo kirjautua verkkopankkiin. Tinba käyttää keyloggeria varastaakseen tilin käyttäjänimen sekä salasanan ja lähettää ne rikollisille.

• Sähköpostiviestien linkkejä ei pidä klikkailla harkitsemattomasti, eikä suorittaa tiedostoja tai ladata liitteitä miettimättä niiden tarkoitusta tai tarpeellisuutta.
• Sähköpostitse saapuvan epätyypillisen pyynnön tai sisällön kanssa tulisi olla tarkkana, eikä omia arkaluontoisia henkilötietoja tulisi lähettää sähköpostilla huolimattomasti.
• Markkinoilla on paljon työkaluja, jotka voivat auttaa havaitsemaan ja poistamaan nimenomaan haittaohjelmia.
• Käyttäjän tulisi tarkkailla saako hän epätavallisia viestejä, ponnahdusikkunoita tai pyyntöjä verkkopankkiin tai muihin talouspalveluihin kirjautuessa.
• Verkkosivun ulkoasu tai osoite on hyvä myös tarkistaa muutosten varalta, jos sivusto herättää epäilyksiä.
• Mobiilisovellusten lataaminen tulisi tehdä vain luotetuista lähteistä, eikä koskaan sovelluskaupan ulkopuolelta.
• Huolehdi varmuuskopioiden olemassaolosta ja ajantasaisuudesta, pankkitroijalaiset voivat levittää myös kiristyshaittaohjelmia.

Mitä tehdä tartunnan havaitsemisen jälkeen?

Tinban poistaminen järjestelmästä on haastavaa, koska se injektoi pahantahtoista koodia oikeisiin käytössä oleviin prosesseihin. Tinban voi yleisesti poistaa kahdella eri tavalla. Useimmat haittaohjelmien torjuntaan erikoistuneet yritykset tarjoavat Tiny Banker - haittaohjelman poistoa. On myös mahdollista käyttää täyttä järjestelmän palauttamista varmuuskopioista, aikaan ennen haittaohjelmatartuntaa. Palautuspisteen valinta voi olla haastavaa, koska Tinba-tartunta on voinut tapahtua kauan ennen sen aktivoitumista.

Mikä?

Qrypter on Java-pohjainen etähallittava troijalainen (Remote Access Trojan eli RAT), joka käyttää TOR-pohjaista (The Onion Router) komentopalvelinrakennetta (C&C). Ensimmäisen kerran Qrypter-haittaohjelmahavaintoja alkoi tulla kesäkuussa 2016.

Qrypter on haittaohjelma, jota tarjotaan haittaohjelma palveluna (Malware-as-a-Service). Haittaohjelman käyttö on erityisen suosittua AdWind ja jRAT:n yhdistettynä. Qrypter:stä on liikkeellä useita variantteja. Qrypter tunnetaan myös nimellä: Qarallax, Quaverse, QRAT ja Qontroller.

Miltä toiminta näyttää ja miten sitä toteutetaan?

Haittaohjelma on osa rikollisryhmä "QUA R&D":n Malware-as-a-Service-alustaa.

Haittaohjelma välitetään usein pahantahtoisten sähköpostiviestikampanjoiden kautta, yleensä kampanjan koko on joitakin satoja viestejä. Vastaanottajaa pyydetään avaamaan liite, jossa väitetysti annetaan lisätietoja tuotteista, palveluista, maksuehdoista tai toimitusajoista.

Haittaohjelman suorittaminen uhrin järjestelmässä johtaa kahden VBS-tiedoston viemisen järjestelmään ja suorittamiseen %Temp%-kansiossa, tiedostoilla on satunnaiset nimet. Nämä scriptit keräävät informaatiota palomuurista ja virustorjuntatyökaluista, joita tietokoneelle on asennettu.

Qrypter on lisäosapohjainen (plugin) takaovi, joka tarjoaa hyökkääjälle laajasti kyvykkyyksiä: etäyhteyden, pääsyn webkameraan, uusien tiedostojen asennusmahdollisuuden ja paljon muuta. Rikollisryhmän myy etähallittavaa troijalaista ja sille tarjotaan jopa tukea. Näyttäisi siltä, että haittaohjelman pitäminen virustorjuntaohjelmien huomaamattomissa on rikollisryhmittymän korkeimpia päämääriä ja osittain se on myös päässyt tavoitteeseensa.

Suojautuminen tältä haittaohjelmalta?

• Käytä virustorjuntaohjelmistoa.
• Klikkaile harkiten, sillä sähköpostit voivat sisältää linkkejä tai liitetiedostoja joiden kautta haittaohjelmat voivat levitä.
• Huolehdi varmuuskopioista.
• Käytä kunnollista salasanaa ja mahdollisuuksien mukaan myös monivaiheista tunnistautumista.
• Älä käytä samoja salasanoja monessa palvelussa.
• Pidä ohjelmisto-, virustorjunta- ja käyttöjärjestelmäpäivitykset ajan tasalla.
• Käyttäjien päivittäinen tietokoneen käyttö pitäisi tehdä käyttäjätililtä, jolla ei ole pääkäyttäjän oikeuksia.

Mitä tehdä tartunnan havaitsemisen jälkeen?

Tietoverkkoa, välityspalvelimia ja palomuurilokeja pitäisi valvoa epäilyttävän liikenteen tai toiminnan havaitsemiseksi. Käyttäjätilit joita on käytetty tartunnan saaneilta koneilta tulisi alustaa puhtaalla koneella.