Laita hanttiin kiristysohjelmille!

Kirjoittaja on Centeron modernin päätelaitehallinnan intoilija ja tietoturvasetä, Tuukka Tiainen.

Samaan aikaan, kun kirjoitan tätä tekstiä, niin uusin kiristysohjelma Bad Rabbit leviää maailmalla. Kyseinen haittaohjelma toimii monilla tavoin kuten aiemmin tuhoa tehneet WannaCry ja Petya. Myös Bad Rabbit kryptaa tiedostot kovalevyltä ja pyytää avausmaksuksi 0,05 bitcoinia eli noin 280 dollaria.

Tietoturvafirma ESET arvioi, että yli puolet saastuneista koneista sijaitsee Venäjällä. Tämän lisäksi haittaohjelmaa on havaittu myös Ukrainassa, Bulgariassa, Turkissa ja Japanissa. Hyökkäysvektorina Bad Rabbit käyttää valheellista Adobe Flash Player päivitystä, jota saastuneet sivustot tarjoavat. Ainakin tässä vaiheessa näyttää siltä, että kyseinen ransomware ei käytä haavoittuvuuksia hyväkseen.C:\Users\tiaintu\AppData\Local\Temp\msohtmlclip1\02\clip_image001.png

Avast: Saastuneisuuskartta

 

Tällä hetkellä ainakin Trend Micro, F-Secure ja Kaspersky ovat tuoneet tunnisteet ja puhdistusmetodit kyseistä uhkaa varten omiin tietoturvaratkaisuihinsa. Tämä ei kuitenkaan ratkaise ongelmaa niillä laitteilla, joilla pahin on ehtinyt jo tapahtua. Sen takia on syytä pohtia, miten vastaavia uhkia varten voidaan varautua.

 

Microsoftilta apua kiristysohjelmia vastaan

Windows 10 uusin ominaisuuspäivitys 1709 eli Falls Creator Update tuo yhten uutena ominaisuutena Controlled folder access -toiminnallisuuden, joka on osa laajempaa Windows Defender Exploit Guard –työkalupakettia. Controller folder accessin päällimmäisenä ideana on tarkkailla määriteltyjä kansioita ja luvittaa niihin tehtäviä muutoksia. Eli se arvioi onko applikaatio haitallinen vai ei ja tällä perusteella kansioon annetaan lupa tehdä muutoksia.

Controller folder access voidaan laittaa yksittäisessä Windows 10 laitteessa (1709 versiosta alkaen) päälle käsin tai sitä voidaan hallita Group Policyn, MDM:n tai Powershellin avulla. Ominaisuus on syytä ottaa hallitusti käyttöön niin sanotussa Evaluate-tilassa, jolloin nähdään miten se toimii olemassa olevien sovellusten ja ratkaisuiden kanssa.

 

Suojautumiskeinot

Tämänkin kiristysohjelman kohdalla tulee tiettyjen reunaehtojen toteutua, että hyökkäys onnistuu ja laite saadaan kryptattua. Saastunut sivusto nimittäin ehdottaa käyttäjää lataamaan ja suorittamaan install_flash_player.exe huijauspäivityksen. Tämän tai minkään muunkaan EXE-tiedoston suorittaminen ei onnistu ilman paikallisen järjestelmänvalvojan oikeuksia ja kun UAC on päällä asiallisesti.

Toisaalta myös, jos sovellusten päivittäminen on hallittua niin loppukäyttäjän ei tulisi koskaan joutua itse päivittämään esimerkiksi Adobe Flash Player -lisäosaa. Tässä vielä lyhyt muistilista miten suojaudut kiristysohjelmilta parhaiten.

  1. Arvioi mitä kolmannen osapuolen liitännäisiä ja sovelluksia todella tarvitset. Ne mitä tarvitaan, on syytä päivittää hallitusti ajallaan. Päivitystenhallintaan loistava työkalu on meidän Centero Software Manager.
  2. Varmuuskopioi tärkeät tiedostot. Älä tallenna tärkeitä tiedostoja pelkästään oman koneesi levypinnalle vaan käytä esimerkiksi Microsoftin Onedrive ja Sharepoint -ratkaisuita.
  3. Vältä pysyviä järjestelmänvalvojan oikeuksien myöntämistä tavallisille käyttäjille. Mikäli paikallisia korotettuja oikeuksia kuitenkin välillä tarvitaan niin ne olisi syytä luvittaa lyhytaikaisesti tai toimenpidekohtaisesti. Centero Carillon on meidän rakentama ratkaisu paikallisten käyttäjäoikeuksien hallintaa varten.

 

 

 

 

Laske säästösi

Automatisoi sovelluspäivitykset ja lopeta pikkusoftien kanssa painiminen. Centero Software Manager säästää aikaa, rahaa ja hermojasi.

« Edellinen artikkeli: Microsoft 365 powered device
» Seuraava artikkeli: Google Play Protect ja tämän hetken mobiilihuolet