Sain soiton asiakkaalta jonka koneeseen oli iskenyt ns. ”poliisi haittaohjelma”.  Kyseinen ohjelma ilmaantui käyttäjien riesaksi viime keväänä. Viestintäviraston sivuilla ohjelmaa kuvaillaan näin:

Maaliskuussa 2012 on ollut liikkeellä haittaohjelma, joka lukitsee käyttäjän tietokoneen ja vaatii poliisin nimissä rahaa sen avaamiseksi. Haittaohjelmalla ei todellisuudessa ole mitään tekemistä poliisin kanssa. Kyseessä on niin sanottu ransomware (ransom = lunnaat) eli haittaohjelma, jolla pyritään kiristämään rahaa koneen käyttäjältä. Poliisi on kehottanut haittaohjelmatartunnan saaneita olemaan maksamatta vaadittua summaa. Maksaminen ei poista haittaohjelmaa eikä pura sen tekemää lukitusta.

Mainittu asiakas toi koneen minulle tutkittavaksi ja selvisi seuraavaa… Kaikki toimi normaalisti niin kauan kun koneessa ei ollut verkkoyhteyttä. Heti kun koneen laittoi verkkoon ruudun valtasi alla oleva kuva (klikkaamalla kuva suurenee):

poliisiherja

Koneella ei pystynyt tekemään mitään, lopulta painoin CTRL+ALT+DEL  ja pääsin valikkoon josta koneen sai lukittua, kirjauduttua ulos, käynnistämään tehtävienhallinnan tai sammuttamaan koko koneen. Yritin tehtävienhallintaan mutta sepä ei käynnistynytkään. Toisella koneella aloin sitten etsimään netistä ohjeita tilanteeseen.  Viestintäviraston sivulta http://www.cert.fi/ohjeet/2012/ohje-2012-01.html  löytyi ohje jota läksin noudattamaan mutta mainituista poluista ei löytynyt kyseisiä tiedostoja joita poistaa.

Siinäpä sitten ihmeteltiin ja googlattiin lisää. Monenlaisia vinkkejä löytyi mutta mikään ei auttanut. Latasin ilmaisen F-securen Rescue cd:n , pistin koneen sillä tarkistukseen ja löytyikin 24 erilaista malware-haittaohjelmaa koneelta mutta tämä poliisi-juttu vaan pysyi edelleen. Lopulta löytyi Viestintäviraston sivuilta artikkeli jossa kerrottiin:

CERT-FI:n tietoon on tullut uusia versioita poliisin nimissä rahaa vaativasta haittaohjelmasta, joiden poistamiseen Ohje 1/2012:ssa kuvatut toimenpiteet eivät auta. Haittaohjelman käyttämät hakemistopolut ja tiedostonimet voivat vaihdella sen eri versioissa ja eri käyttöjärjestelmissä.

Great! Milläs haittaohjelman nyt sitten löytäisi?!? Kunnes löysin jälleen Viestintäviraston sivuilta seuraavan ohjeen http://www.cert.fi/tietoturvanyt/2012/06/ttn201206281530.html.

Menin ohjeessa mainittuun temp-kansioon ja toivoin löytäväni mainitun .exe-tiedoston sieltä… mutta ei löytynyt. Temp-kansiossa oli julmetusti kaikenlaista sälää mutta ei yhtään .exe-tiedostoa. Menin komentoikkunan kautta tutkimaan käynnistysvalikkoa ja sieltä löysin ohjeessa mainitun ctfmon.lnk-linkin. Se herätti toiveita, että temp-kansiossa on sittenkin joku ohjelma jonka mainittu linkki käynnistää kun koneen pistää verkkoon. Linkkiä ei saanut poistettua käynnistysvalikosta. Menin siis takaisin temp-kansioon ja aikani pähkäiltyäni kiinnitin huomioni feO_zip tiedostoon. Nimesin kyseisen tiedoston uusiksi, kirjauduin koneelta ulos ja takaisin sisään.

Ja kas… ruudulle tuli herja ettei feO.exe ohjelmaa voinut käynnistää. Pistin koneen verkkoon ja eipä enää tullut ”poliisi-ikkunaa” :) Seuraavaksi menin komentoikkunan kautta käynnistyvalikkoon ja nyt sain poistettua ctfmon.lnk-linkin. Seuraavaksi koneen virustorjuntaohjelma löysi feO.exe tiedoston joka pistettiin karanteeniin. Ja sen jälkeen kaikki oli ok. Päivitin koneen Java-, Adobe Acrobat Reader- ja Adobe Flash Player-ohjelmat uusimpiin versioihinsa koska näiden kautta kyseinen haittaohjelma on levinnyt käyttäjien koneisiin.

Summasummarum:

Kannattaa pitää kaikki ohjelmat koneella ajantasalla jotta riski esimerkiksi tämän tyyppisen ohjelman pesiytymiseen omalla koneelle pienenee. Tuli tässä myös huomattua se etteivät virustorjuntaohjelmistot aina pysty blokkaamaan kaikkia uhkia eivätkä aina löydä koneelle jo päässeitä viruksia / haittaohjelmia. Tämäkin kyseinen ohjelma saanee vielä uusia versioita joiden kanssa saa taas pähkäillä mistä ne koneen monista kansioista löytää… Ei käy elämä tylsäksi kun viruksia jahtaa ;)