Siirry sisältöön
← Etusivu
Palautus

Ransomware-hyökkäys — näin toimit oikein

Lukittu tietokoneen näyttö ransomware-viestillä

Ransomware eli kiristyshaittaohjelma on yksi vakavimmista kyberuhkista niin yrityksille kuin yksityishenkilöillekin. Hyökkäyksessä haittaohjelma salaa tietokoneesi tiedostot ja vaatii lunnaita niiden avaamiseksi. Vuosittain tuhannet suomalaiset joutuvat ransomwaren uhreiksi, ja vahinkojen määrä kasvaa jatkuvasti.

Tässä artikkelissa käymme läpi, miten ransomware toimii, miten tunnistat hyökkäyksen ja mitä sinun tulee tehdä, jos joudut uhriksi.

Mikä on ransomware?

Ransomware on haittaohjelma, joka salaa tiedostot tietokoneella tai verkkoasemilla vahvalla salausalgoritmilla. Salauksen jälkeen ohjelma näyttää ruudulla viestin, jossa vaaditaan lunnaita — tyypillisesti kryptovaluuttana — salausavaimen luovuttamiseksi. Lunnaiden summa vaihtelee muutamista sadoista euroista tuhansiin euroihin yksityishenkilöillä ja jopa miljooniin yrityshyökkäyksissä.

Nykyaikaiset ransomware-ohjelmat käyttävät niin vahvaa salausta, ettei sitä voi murtaa ilman oikeaa salausavainta. Tämä tekee hyökkäyksestä erityisen tuhoisan, sillä tiedostojen palauttaminen ilman avainta tai varmuuskopiota on käytännössä mahdotonta.

Miten tartunta tapahtuu

Ransomware leviää useilla tavoilla, mutta yleisimmät tartuntareitit ovat:

Sähköpostin liitteet ja linkit

Valtaosa ransomware-tartunnoista alkaa phishing-sähköpostista. Viesti voi näyttää tulevan tutulta taholta, kuten pankilta, veroviranomaiselta tai työkaverilta. Liitteenä voi olla Word- tai Excel-tiedosto, joka sisältää haitallisen makron, tai linkki voi johtaa tartuttavalle verkkosivulle.

Haavoittuvat ohjelmistot

Päivittämättömät ohjelmistot ja käyttöjärjestelmät sisältävät tunnettuja haavoittuvuuksia, joita hyökkääjät käyttävät hyväkseen. Erityisesti vanhentuneet Windows-versiot ja päivittämättömät selainliitännäiset ovat yleisiä hyökkäysvektoreita.

Haitalliset verkkosivut ja mainokset

Tartunta voi tapahtua myös vierailemalla kompromissoidulla verkkosivustolla tai klikkaamalla haitallista verkkomainosta. Joissakin tapauksissa pelkkä sivun lataaminen riittää tartunnan syntymiseen, jos selain tai sen liitännäiset ovat haavoittuvia.

Hyökkäyksen tunnistaminen

Ransomware-hyökkäys havaitaan yleensä vasta kun salaus on jo tapahtunut. Tyypilliset merkit ovat:

  • Tiedostojen päätteet ovat muuttuneet tuntemattomiksi (esim. .locked, .encrypted, .crypted)
  • Tiedostoja ei voi avata ja ohjelmat ilmoittavat korruptoituneista tiedostoista
  • Työpöydälle tai kansioihin ilmestyy lunnasviestejä tekstitiedostoina tai kuvina
  • Tietokoneen taustakuva on vaihtunut lunnasviestiksi
  • Tietokone toimii poikkeuksellisen hitaasti (salaus voi olla vielä käynnissä)

Jos huomaat näitä merkkejä, toimi välittömästi.

Näin toimit hyökkäyksen sattuessa

1. Irrota tietokone verkosta

Ensimmäinen ja tärkein toimenpide on katkaista verkkoyhteys välittömästi. Irrota ethernet-kaapeli ja sammuta Wi-Fi. Tämä estää haittaohjelmaa leviämästä muihin laitteisiin samassa verkossa ja estää sen kommunikoinnin hyökkääjän palvelimien kanssa. Jos salaus on vielä käynnissä, verkon katkaisu voi pysäyttää sen ennen kuin kaikki tiedostot on salattu.

2. Älä sammuta tietokonetta

Vaikka ensireaktio voi olla sammuttaa kone, se ei ole aina viisasta. Tietokoneen muistissa voi olla salausavaimia, jotka katoavat sammutettaessa. Jos sinulla on mahdollisuus ottaa yhteyttä asiantuntijaan nopeasti, pidä kone päällä mutta irti verkosta.

3. Dokumentoi tilanne

Ota valokuva lunnasviestistä puhelimellasi. Kirjaa ylös ransomwaren nimi, jos se mainitaan viestissä, sekä tiedostopäätteet, joihin tiedostot on muutettu. Nämä tiedot auttavat tunnistamaan hyökkäyksen tyypin ja mahdolliset palautuskeinot.

4. Ilmoita hyökkäyksestä

Ilmoita hyökkäyksestä Kyberturvallisuuskeskukselle. Ilmoitus auttaa viranomaisia seuraamaan uhkien kehitystä ja varoittamaan muita. Jos kyseessä on yrityksen järjestelmä, tee myös rikosilmoitus poliisille.

5. Tunnista ransomwaren tyyppi

Palvelut kuten ID Ransomware ja No More Ransom -projekti voivat tunnistaa ransomwaren tyypin salatun tiedoston tai lunnasviestin perusteella. Joillekin vanhemmille ransomware-varianteille on julkaistu ilmaisia purkutyökaluja, jotka voivat avata tiedostot ilman lunnaiden maksamista.

Miksi lunnaita ei kannata maksaa

Lunnaiden maksaminen voi tuntua nopeimmalta ratkaisulta, mutta se on lähes aina väärä päätös. Syitä on useita.

Ensinnäkin maksaminen ei takaa tiedostojen palautumista. Tutkimusten mukaan merkittävä osa lunnaiden maksaneista ei koskaan saa toimivaa salausavainta tai saa vain osan tiedostoistaan takaisin. Rikollisilla ei ole mitään velvoitetta pitää lupaustaan.

Toiseksi maksaminen rahoittaa rikollista toimintaa ja tekee tulevista hyökkäyksistä kannattavampia. Jokainen maksettu lunnassumma kannustaa hyökkääjiä jatkamaan ja laajentamaan toimintaansa.

Kolmanneksi maksaminen voi tehdä sinusta toistuvan kohteen. Hyökkääjät tietävät, että kerran maksanut uhri todennäköisesti maksaa uudelleenkin.

Tiedostojen palautus ilman lunnaiden maksamista

Jos sinulla on varmuuskopio, joka on tehty ennen hyökkäystä ja joka on säilynyt tartunnan ulkopuolella, tiedostojen palautus on suoraviivaista. Alusta saastunut kovalevy, asenna käyttöjärjestelmä puhtaasti ja palauta tiedostot varmuuskopiosta.

Ilman varmuuskopiota vaihtoehdot ovat rajallisemmat. Tarkista No More Ransom -projektista, onko kyseiselle ransomwarelle julkaistu purkutyökalua. Joissain tapauksissa Windowsin aiemmat versiot -ominaisuus (Volume Shadow Copy) voi sisältää tiedostojen aiempia versioita, joita ransomware ei ole onnistunut tuhoamaan.

Ammattimainen tietojenpalautuspalvelu voi joissain harvinaisissa tapauksissa auttaa, mutta ransomwaren vahvan salauksen murtaminen ei yleensä ole mahdollista edes ammattilaisille.

Ennaltaehkäisy on ratkaisevaa

Ransomwarelta suojautuminen on huomattavasti helpompaa kuin hyökkäyksestä toipuminen.

Varmuuskopioi säännöllisesti ja pidä vähintään yksi varmuuskopio irti verkosta. Ransomware salaa myös verkkoasemat ja pilveen synkronoidut kansiot, joten erillinen offline-varmuuskopio on elintärkeä.

Päivitä ohjelmistot heti kun päivityksiä on saatavilla. Käyttöjärjestelmän, selaimen ja kaikkien sovellusten tietoturvapäivitykset sulkevat haavoittuvuuksia, joita hyökkääjät käyttävät.

Suhtaudu sähköpostiin varauksella. Älä avaa liitteitä tai klikkaa linkkejä odottamattomissa viesteissä, vaikka lähettäjä näyttäisi tutulta. Tarkista aina lähettäjän osoite huolellisesti.

Käytä virustorjuntaohjelmaa ja pidä se ajan tasalla. Moderni virustorjunta tunnistaa ja estää suurimman osan tunnetuista ransomware-varianteista.

Rajoita käyttöoikeuksia. Älä käytä järjestelmänvalvojan tiliä päivittäiseen työskentelyyn. Rajoitetut käyttöoikeudet hidastavat ransomwaren leviämistä ja voivat estää sen salaamasta kaikkia tiedostoja.

Ransomware-hyökkäys on vakava tilanne, mutta oikeilla ennakkotoimilla sen riskin voi minimoida ja oikealla toiminnalla hyökkäyksen sattuessa vahingot rajata. Tärkein yksittäinen suojatoimi on toimiva, testattu ja verkosta irti oleva varmuuskopio.

Lue myös

Hajonnut kovalevy auki purettuna pöydällä
Palautus

Mitä tehdä kun kovalevy hajoaa?

Kovalevyn hajoaminen ei aina tarkoita tietojen menetystä. Opi tunnistamaan vian oireet ja toimimaan oikein.

Kolme eri tallennuslaitetta pöydällä varmuuskopiointia varten
Varmuuskopiointi

3-2-1-varmuuskopiointisääntö käytännössä

Opi soveltamaan 3-2-1-sääntöä arjessa. Kolme kopiota, kaksi tallennusmuotoa ja yksi etäkopio suojaavat tietosi tehokkaasti.