Suomi | Suomi Sijainnit

040 768 3266 Aloita Tietojen Palautus
040 768 3266
040 768 3266
Aloita Tietojen Palautus

Kiristyohjelmaopas

Written By: Ontrack

Date Published: 12. helmikuuta 2025 klo 5.37.22

Kiristyohjelmaopas

Arrow Left Takaisin listaukseen
  • ransomware-1

    Mikä kiristysohjelma on? 

    Kiristysohjelma on haittaohjelma, joka on suunniteltu joko estämään tietokonejärjestelmän toiminta tai julkaisemaan uhrin tiedot verkossa. Hyökkääjä vaatii uhrilta lunnaita ja lupaa – ei aina totuudenmukaisesti – palauttaa pääsyn tietoihin maksua vastaan.

    1980-luvulta lähtien viimeisen vuosikymmenen aikana erilaisten kiristysohjelmien troijalaisten määrä on lisääntynyt, mutta todelliset mahdollisuudet hyökkääjille ovat lisääntyneet Bitcoinin käyttöönoton jälkeen.

    Tämän kryptovaluutan avulla hyökkääjät voivat helposti kerätä rahaa uhreiltaan ilman perinteisiä kanavia.

    Kiristysohjelmahyökkäys: Kuinka kyberrikolliset pääsevät sisälle järjestelmiin?

    Kiristysohjelmahyökkäys saa alkunsa, kun haittaohjelma ladataan laitteelle. Esimerkkejä laitetyypeistä ovat kannettavat tietokoneet, älypuhelimet tai pöytätietokoneet. Haittaohjelmat ladataan yleensä käyttäjän virheen tai riittämättömien suojausprotokollien vuoksi.

Tietojenkalasteluviesti

Yleisin kiristysohjelmien toimitusjärjestelmä on tietojenkalasteluviesti, joka sisältää liitteen tai linkin.

Tartunnan saaneet verkkosivut ja haittaohjelmat/mainosohjelmat

Tartunnan saaneita URL-osoitteita käytetään yleisesti kiristysohjelmien levittämiseen. Klikkaamalla jotakin näistä linkeistä, joko sähköpostin tai vahvistamattoman verkkosivuston kautta, se voi käynnistää automaattisesti kirsitysohjelman latauksen kiintolevyllesi, joka tunnetaan myös nimellä "drive-by download". Pelkästään sivustolla käyminen lataamatta mitään voi johtaa kiristysohjelmahyökkäykseen.

Etätyöpöytäpisteet (RDP)

Yhä useammat hyökkäykset saavat pääsyn yritykseen, jolla on avoimia ja näkyviä etätyöpöytäpisteitä, kuten RDP ja virtuaalinen verkkolaskenta (VNC).

RDP-tunnistetiedot voidaan ottaa haltuun, hankkia salasanavuodoista tai yksinkertaisesti ostaa mustasta pörssistä. Kun aiemmat kiristysohjelmarikolliset loivat komento- ja valvontaympäristön kiristyshaittaohjelmille ja salauksenpurkuavaimille, useimmat rikolliset lähestyvät nyt uhreja lunnaita koskevilla muistiinpanoilla, jotka sisältävät anonyymin sähköpostipalveluosoitteen, jolloin pahat toimijat voivat pysyä paremmin piilossa.

Kun kiristysohjelmat ovat saastuttaneet järjestelmän, se ottaa haltuunsa laitteen kriittisen prosessin; salattavien tiedostojen etsiminen; haittaohjelma sekoittaa kaikki laitteen tiedot tai poistaa tiedostot, joita se ei voi salata. Se voi tartuttaa kaikki isäntäkoneeseen liitetyt ulkoiset laitteet. Kehittyneemmille hyökkäyksille tämä on vasta alkua tapahtumasarjalle, joka on kuvattu Lockheed Martin Cyber Kill Chain® -kehyksessä ja MITER ATT&CK® -tietokannassa.

 

Erilaisia kiristysohjelmataktiikoita

Kyberrikolliset käyttävät erilaisia taktiikoita rahojen saamiseksi.

Tietojen salaus

Monissa tapauksissa puhutaan myös salaustroijalaisista, koska kiristys perustuu siihen, että tiedot ovat erottamattomasti koodattuja ja käyttäjän ulottumattomissa. Salauksenpurkuavain luvataan vastineeksi rahasta.

Tietojen varastamine - Leakware tai Doxware

Toinen haittaohjelmien tyyppi on nimeltään leakware tai doxware. Tässä hyökkääjä uhkaa julkaista arkaluontoisia tietoja uhrin kiintolevyltä, ellei lunnaita makseta. Usein sähköposteihin ja Word-asiakirjoihin kohdistettuna on myös ollut tapauksia mobiiliversioista, joissa yksityisiä viestejä, kuvia ja yhteystietoja on julkaistu käyttäjien puhelimista.

Doxware on tunnustettu tehokkaammaksi haittaohjelmaksi kuin kiristysohjelma (ransomware) – mitä tulee rahan saamiseen uhrilta. Kiristysohjelmien avulla voi ylläpitää erillisiä varmuuskopioita tiedoista, joihin ei enää ole pääsyä muuta kuin Dox-ohjelmistolla, kun hyökkääjällä on tietoa, jota uhri ei halua julkisiksi, uhri ei voi mutta kuin maksaa.

Locking

Sellaisia tapauksia on myös ollut, joissa haittaohjelmat väittävät käyttäjän ‘Windows’ olevan lukittu. Käyttäjää kehotetaan sitten soittamaan “Microsoftin” puhelinnumeroon ja antamaan kuusinumeroinan koodi järjestelmän uudelleen aktivoimiseksi. Viestissä väitetään, että puhelu on ilmainen, mutta se ei pidä paikkaansa. Sillä aikaa kun feikki ‘Microsoft’-puhelu on meneillään, käyttäjältä laskutetaan kaukopuhelumaksuja.

Wiper

Haittaohjelmat, joiden ainoana tavoitteena on tuhota pysyvästi pääsy tietoihin.

Kaksois- ja kolminkertainen kiristys

Ajan myötä on syntynyt uusia taktiikoita, joissa tiedon salaus on yhdistetty datavarkauksiin (kaksinkertainen kiristys) ja hajautettu palvelunestohyökkäys (DDoS) (kolminkertainen kiristys).

 

Kiristysohjelmaryhmät – ja variantit

Uhka tulee erilaisilta toimijoilta, joiden motiivit ja taitotaso vaihtelevat valtioiden toimijoista, rikollisista, hakkereista, jännityksen etsijistä ja sisäpiiriläisistä. Eri uhkaryhmät kehittivät useita erilaisia ​​kiristysohjelmien muunnelmia, ja uusia luodaan jatkuvasti. Nämä ryhmät erikoistuvat usein ja tekevät yhteistyötä.

Muutamia esimerkkejä kuuluisista kiristysohjelmaversioista, jotka nämä ryhmät ovat kehittäneet muutaman viime vuoden aikana:

2024 AKIRA, SEXi ransomware
2023 Lockbit, AlpVM, Clop (joskus kirjoitettu “Cl0p”, Royal 
2022 BlackBasta 
2021 Black cat
2020 NetWalker
2019 REvil /Sodinokibi , MedusaLocker, Maze, DoppelPaymer, Anatova
2018 Ryuk, GandCrab
2017 WannaCry, Dharma, BitPaymer, BadRabbit
2016 Petya NotPetya, Locky, Cerber
2015 SamSam
2014 Emotet
2013 Cryptolocker

Kattava yleiskatsaus kiristysohjelmaryhmistä ja -varianteista on nähtävissä täältä: https://github.com/cert-orangecyberdefense/ransomware_map.

Olenko kiristysohjelmien kohde?

Nykypäivän verkkomaailmassa kysymys ei ole siitä, hyökätäänkö organisaatioon, vaan siitä, milloin se tapahtuu ja kuinka hyvin organisaatio on valmistautunut siihen.

Jos luet uutisia, olet huomannut, että useiden eri sektoreiden ja toimialojen organisaatiot ovat joutuneet kiristysohjelmien uhreiksi. Terveydenhuollosta lentoyhtiöihin, hyökkääjillä ei näytä olevan prioriteetteja keneen he hyökkäyksen kohdistavat, vai onko?

Hyökkääjä valitsee tavallisesti kohteensa kahden asian perusteella:
1. Mahdollisuus
2. Mahdollinen taloudellinen hyöty

Mahdollisuus
Hyökkääjä voi pitää helppona kohteena organisaatiota, jolla on pieni tietoturvatiimi, IT-resurssit puuttuvat ja jolla on käyttäjäkunta, joka jakaa monia tiedostoja keskenään, esim. yliopisto.

Mahdollinen taloudellinen hyöty

Organisaatiot, jotka tarvitsevat välittömän pääsyn tiedostoihinsa, esim. Lakitoimistot tai valtion virastot voivat todennäköisemmin maksaa lunnaat nopeasti. Organisaatiot, joilla on arkaluontoisia tietoja, voivat myös olla valmiita maksamaan salatakseen tietomurron.

Pitäisikö minun maksaa lunnaat?

Luulisi, että lunnaiden maksaminen tietojesi takaisin saamiseksi olisi tarpeeksi huono uutinen, mutta hyökkäyksen todelliset vahinkokustannukset voivat olla paljon mittavampia. Muita mahdollisia vaikutuksia:
•    Tietojen vahingoittuminen ja tuhoutuminen (tai menetys)
•    Menetetyt tuotot
•    Hyökkäyksen jälkeinen häiriö normaalissa liiketoiminnassa
•    Rikostekninen tutkinta
•    Tietojen ja järjestelmien palauttaminen ja poistaminen
•    Mainevaurio
•    Työntekijäkoulutus suorana vastauksena hyökkäyksiin

Kun otat edellä mainitut asiat huomioon, ei ole ihme, että kiristysohjelmien vahinkojen ennustetaan kasvavan. Kun puhut kyberrikollisuuden asiantuntijoille, useimmiten sinua kehotetaan olemaan maksamatta lunnaita, koska kiristysohjelmahyökkääjien rahoittaminen vain auttaa luomaan lisää kiristysohjelmia. Monet organisaatiot vastustavat tätä ja punnitsevat salatun tiedon kustannuksia pyydettyihin lunnaisiin. Mutta maksavatko organisaatiot hyökkääjille?

Vaikka kiristysohjelmien lunnaiden maksamisesta kieltäytymistä suositellaan, maksamisesta kieltäytyminen ei välttämättä ole paras toimintatapa yritykselle itselleen. Kun on mahdollista, että yritys voi menettää pysyvästi pääsyn tärkeisiin tietoihinsa, saada viranomaisilta sakkoja tai lopettaa toimintansa kokonaan, yrityksen vaihtoehdot voivat tuntua synkiltä. Joissakin kiristysohjelmatapauksissa vaaditut lunnaat asetetaan sellaisiksi, jossa se on hyökkääjän vaivan arvoista, mutta riittävän alhainen, jotta se on usein halvempaa kuin kadonneiden tietojen palauttamisen kustannus.

Joskus tarjotaan myös alennuksia, jos uhri maksaa tietyn ajan sisällä esim., 3 päivää. Tätä silmällä pitäen jotkut yritykset keräävät Bitcoin-varantoja erityisesti lunnaita varten.

Kuinka kiristysohjelmahyökkäys estetään

Kiristysohjelmavariantit kohdistetaan eri liiketoiminta-alueille. Riskiryhmiin kuuluvien tulee ryhtyä varotoimiin riskin vähentämiseksi ja hyökkäyksen vaikutusten vähentämiseksi. Yksi tärkeimmistä suunnitelmista, jotka organisaatiollasi tulisi olla, on katastrofipalautussuunnitelma. Jos sinulla ei ole sellaista, seuraukset ovat todennäköisesti vakavia. Monet yritykset, jotka kärsivät tietojen katoamisesta ja seisokeista vähintään kymmenen päivän ajan, hakeutuvat konkurssiin 12 kuukauden kuluessa.

Hätäpalautussuunnitelma

Palautumissuunnitelmassa kuvataan erilaisia skenaarioita töiden nopealle jatkamiselle katastrofin, eli kiristysohjelmahyökkäyksen jälkeen. Organisaation liiketoiminnan jatkuvuussuunnitelman keskeisen osan tulisi mahdollistaa IT-palautus ja tietojen menetyksen esto.

Muista pitää suunnitelma ajan tasalla ja tulosta siitä myös muutama versio. Koska jos se on salatulla palvelimella tai asemalla, paraskin hätäsuunnitelma on tällöin hyödytön. Jos sinulla ei ole suunnitelmaa valmiina, voit ladata omamme täältä. 

Muita suosituksia:

  1. Varmista, että sinulla on ajan tasalla olevat varmuuskopiot – tällä tavalla, jos jotain tapahtuu, tiedostojen palauttaminen varmuuskopiosta on nopein tapa saada takaisin pääsy tietoihisi.

  2. Valmistaudu testaamalla varmuuskopioita säännöllisesti. Organisaatioiden on tiedettävä, mitä varmuuskopioarkistoon on tallennettu, ja varmistettava, että tärkeimmät tiedot ovat saatavilla, jos kiristysohjelmat kohdistuvat varmuuskopioihin.

  3. Koulututa käyttäjiä varmistaaksesi, että kaikki työntekijät huomaavat mahdollisen hyökkäyksen. Varmista, että työntekijät ovat tietoisia parhaista käytännöistä, jotta he eivät vahingossa lataa kiristysohjelmaa tai avaa verkkoa ulkopuolisille.

  4. Tietoturvakäytäntöjen toteuttaminen. Käytä uusinta virustorjunta-, haittaohjelmatorjunta- ja päätepisteiden tunnistus- ja vastausratkaisun EDR-ohjelmistoa ja seuraa niitä johdonmukaisesti saastumisen estämiseksi.

  5. Varmista, että sähköpostipalvelimillasi on sisällön tarkistus ja suodatus. Tarkista jokainen saapuva sähköposti tunnettujen uhkien varalta ja estä kaikki liitetyypit, jotka voivat aiheuttaa uhan.

  6. Kehitä IT-käytäntöjä, jotka rajoittavat muiden verkkoresurssien saastumista. Yritysten tulee ottaa käyttöön suojatoimia, joten jos jokin laite saa kiristysohjelmatartunnan, se ei tunkeudu koko verkkoon. 

  7. Varmista hätätilanteiden asiantuntijatiimien ja Ibas Ontrackin tietojen palautusasiantuntijoiden yhteistyö.

  8. Viestintä on avainasemassa kriisin aikana.

  9. Luo sähköpostiosoitteita käytettäviksi hätätilanteissa (tärkeimmille päättäjille), jotka ovat erillään yrityksen ympäristöstä, esim. gmx. yahoo jne. Yrityksen laajuinen  whatsapp-ryhmä on ollut hyödyllinen myös asianomaisille yrityksille. Ulkoinen tiedostonjakopalvelin on myös hyödyllinen.  Tämä nopeuttaa ja helpottaa viestintää tapahtuman sattuessa.

Vähennä kyberriskille altistumista: hallitse tietojen elinkaarta

Tietojen hallinta sen elinkaaren aikana ei useinkaan ole monen organisaation harkinnassa. Mutta ilman tietojen elinkaaristrategiaa, organisaatio joutuu alttiiksi vakaville turvallisuusriskeille ja -kustannuksille. Nykyään tietojen tehottoman turvaamisen kustannukset ovat "liian korkeat".

Organisaatioiden ei tarvitse olla varovaisia vain kiristysohjelmahyökkäyksiä vastaan, vaan tietomurrot, maineen vahingoittuminen, asiakkaiden menettäminen, seisokit ja suuret sakot ovat kaikki mahdollisia riskejä organisaatiolle, joka ei hallitse tehokkaasti tietojensa elinkaarta.

Organisaatiot, jotka ottavat aikaa investoidakseen tarvittavat ponnistelut ja resurssit tietojen elinkaaren hallintaan, voivat minimoida liiketoimintakriittisten tietojensa riskit ja kustannukset kaikissa vaiheissa.

Voit lukea lisää siitä kuinka organisaatiosi voi suojata tietojaan koko elinkaarensa ajan.

Kuinka Ontrack on auttanut kiristysohjelmien uhreiksi joutuneita organisaatioita

Ibas Ontrackilla seuraamme jatkuvasti erityyppisiä kiristysohjelmia.
Kiristysohjelmat muuttuvat ja kehittyvät koko ajan, joten haluamme varmistaa, että seuraamme ja tutkimme uusimpia muutoksia ja edistysaskeleita. Kiristysohjelmien ja sen jatkuvasti muuttuvien muotojen tutkiminen antaa lisätietoa ja kokemusta, mikä lisää todennäköisyyttä, että saamme takaisin hyökkäyksen seurauksena kadonneita tietoja. Kun on kyse tiedoista, joihin ei pääse käsiksi, on aina parasta ottaa yhteyttä asiantuntijaan. Jos joudut kiristysohjelmien hyökkäyksen kohteeksi, ota yhteyttä Ibas Ontrackin asiantuntijaan auttaaksemme sinua pääsemään käsiksi tietoihisi.

Alla on esimerkkejä onnistuneista tietojen palautustapauksista kiristysohjelmien jäljiltä.

Cyberattack on VMware Datastore and Virtual Backups

Data Recovery from Malware-Infected Virtual Files

Hospital databases rescued from ransomware

Merge files of damaged backup with corresponding virtual files

Rescued MS SQL database from encrypted virtual backup on QNAP

Hakkerien virheiden hyödyntäminen kiristysohjelmahyökkäyksen selvityksessä

Käy Ransomware Recovery -sivullamme

Tilaa

Liittyvät Aiheet

MacBook Pron integroidun SSD-levyn suurimmat haasteet

Mitä on hybriditallennus?

Lentokoneiden mustat laatikot
Palvelut
Tuotteet
Resurssit
Yritystietoa

Ibas Ontrack Oy, Luna House, Mannerheimintie 12 B, 00100 Helsinki, Suomi (Katso kaikki sijainnit)

© 2025 KLDiscovery Ontrack - All Rights Reserved.