Siirry pääsisältöön
resources

Kiristysohjelman poisto | Tietojen salauksen purku – kuinka virus tuhotaan

Kiristysohjelmatartunta tarkoittaa, että kyberrikolliset ovat salanneet tietosi tai estäneet käyttöjärjestelmäsi. Rikolliset yleensä vaativat lunnaita poistaakseen tietojen salauksen. Kiristysohjelma voi onnistua soluttautumaan laitteeseesi monin eri tavoin.  Yleisimpiä tapoja ovat tartunnat haitallisilta verkkosivuilta, latausten  mukana tulevat epätoivotut lisäosat ja roskaposti. Kiristysohjelmien hyökkäysten kohteita ovat niin yksityishenkilöt kuin yrityksetkin. Kiristysohjelmahyökkäyksiä vastaan voidaan suojautua monin eri tavoin. Valpas käyttö ja asianmukainen ohjelmisto ovat tärkeitä askelia oikeaan suuntaan. Kiristysohjelmahyökkäys johtaa joko tietojen menetykseen, suurien rahasummien kulutukseen tai molempiin.

Kiristysohjelman tunnistus

Mistä tiedät, onko tietokoneesi saanut tartunnan? Tässä on lueteltu joitakin tapoja tunnistaa kiristysohjelmahyökkäys:

  • Virustorjuntaohjelman hälytys – jos laitteessa on virustorjuntaohjelma, se voi tunnistaa kiristysohjelman tartunnan jo varhaisessa vaiheessa, ellei virus pääse ohittamaan sitä.
  • Tiedostopäätteen tarkistus – esim. kuvatiedostojen normaali pääte on ".jpg". Jos pääte on vaihtunut tuntemattomaan kirjainyhdistelmään, kyseessä saattaa olla kiristysohjelmahyökkäys.
  • Nimen muutos – onko tiedostojen nimet vaihtuneet muiksi nimiksi, kuin mitä niille annoit? Haitallinen ohjelma usein vaihtaa tiedostonimen salatessaan tietoja. Tämä voi siis olla johtolanka.
  • Lisääntynyt suorittimen ja levyn käyttö – lisääntynyt levyn tai pääsuorittimen käyttö voi tarkoittaa, että kiristysohjelma toimii taustalla.
  • Epäilyttävä verkkoviestintä – ohjelmisto, joka on yhteydessä kyberrikolliseen tai hyökkääjän palvelimeen voi aiheuttaa epäilyttävää verkkoviestintää.
  • Salatut tiedostot – kun tiedostoja ei enää voida avata, kiristysohjelmahyökkäys on edennyt pitkälle.

Näyttöön tuleva ilmoitus, jossa vaaditaan lunnaita vahvistaa, että kyseessä on kiristysohjelman tartunta. Mitä aikaisemmin uhka havaitaan, sitä helpompi haittaohjelmaa vastaan on taistella. Salaustroijalaisen tartunnan varhainen tunnistus voi auttaa määrittämään, minkätyyppinen kiristysohjelma laitteeseen on päässyt.  Monet kiristystroijalaiset poistavat itsensä sen jälkeen, kun salaus on suoritettu. Siten niitä ei voida tutkia, eikä salausta purkaa.

Laitteessa on kiristysohjelmatartunta – mitä on tehtävissä?

Kiristysohjelmia on kahta pääasiallista tyyppiä: lukitsevia kiristysohjelmia ja salaavia kiristysohjelmia. Lukitsevan kiristysohjelman virus lukitsee koko näytön, kun taas salaava kiristysohjelma "vain" salaa yksittäisiä tiedostoja. Salaustroijalaisen tyypistä riippuen uhrilla on yleensä kolme vaihtoehtoa:

  1. Hän voi maksaa lunnaat ja toivoa, että kyberrikolliset pitävät sanansa ja poistavat tietojen salauksen.
  2. Hän voi yrittää poistaa haittaohjelman saatavilla olevilla apuvälineillä.
  3. Hän voi nollata tietokoneen tehdasasetuksiin.

Salaustroijalaisten poisto ja tietojen salauksen purku – kuinka se tehdään

Kiristysohjelman tyyppi ja vaihe, jossa tartunta havaitaan vaikuttavat merkittävästi viruksen vastaisessa taistelussa. Haittaohjelman poisto ja tiedostojen palautus ei ole mahdollista kaikkien kiristysohjelmien kohdalla. Voit taistella tartuntaa vastaan kolmella eri tavalla.

Mitä aiemmin havaitset kiristysohjelman, sitä parempi

Jos kiristysohjelma havaitaan ennen lunnasvaatimusta, se voidaan vielä poistaa. Tähän mennessä salatut tiedot pysyvät salattuina, mutta kiristysohjelmavirus voidaan pysäyttää. Varhainen haittaohjelman havaitseminen tarkoittaa, että sen leviäminen muihin tiedostoihin ja laitteisiin voidaan estää.

Jos olet tallentanut varmuuskopion tiedostoistasi ulkoiselle laitteelle tai pilveen, voit palauttaa salatut tiedostosi. Entä jos sinulla ei ole varmuuskopioita tiedoistasi? Suosittelemme, että otat yhteyttä internetsuojausratkaisusi tarjoajaan. Saattaa olla, että hyökkäyksen tehnyttä kiristysohjelmaa koskien on jo olemassa salauksenpurkutyökalu. Voit myös käydä No More Ransom -projektin verkkosivuilla. Tämä laaja aloite kehitettiin kaikkien kiristysohjelmien uhrien avuksi.

Tiedostot salaavan kiristysohjelman poisto-ohjeet

Jos olet joutunut tiedostojen salauksen uhriksi, noudata näitä ohjeita poistaaksesi salaustroijalaisen.

Vaihe 1: Katkaise yhteys internetiin

Katkaise kaikki virtuaaliset ja fyysiset yhteydet. Niihin lukeutuvat langattomat ja langalliset laitteet, ulkoiset kiintolevyt, kaikki tallennuslaitteet ja pilvipalvelutilit. Näin kiristysohjelma ei pääse leviämään verkossa. Jos epäilet, että muut alueet ovat saaneet tartunnan, suorita seuraavat varmuustoimet myös niitä koskien.

Vaihe 2: Suorita tutkimus internetsuojausohjelmistolla

Suorita virustarkistus asentamallasi internetsuojausohjelmistolla. Se auttaa tunnistamaan uhat. Jos vaarallisia tiedostoja löytyy, voit joko poistaa ne tai asettaa ne karanteeniin. Voit poistaa haitalliset tiedostot käsin tai automaattisesti virustorjuntaohjelmalla. Haittaohjelman poistoa käsin suositellaan vain taitaville tietokoneiden käyttäjille.

Vaihe 3: Käytä kiristysohjelmien salauksenpurkutyökalua

Jos kiristysohjelma on salannut tietokoneesi tiedostot, tarvitset sopivan salauksenpurkutyökalun päästäksesi taas niihin käsiksi. Kasperskyllä tutkimme jatkuvasti viimeisimpiä kiristysohjelmia, jotta voimme tarjota sopivat salauksenpurkutyökalut hyökkäyksien uhreille.

Vaihe 4: Palauta varmuuskopiosi

Jos olet tallentanut tiedoistasi varmuuskopion ulkoiseen laitteeseen tai pilvipalveluun, ota varmuuskopio tiedoista, joita kiristysohjelma ei vielä ole salannut. Jos sinulla ei ole varmuuskopiota, tietokoneen puhdistus ja palautus on paljon vaikeampaa. Vältä hankalat tilanteet tallentamalla säännöllisesti varmuuskopioita. Jos sinulla on taipumusta unohtaa tällaiset tehtävät, käytä automaattisia pilvipalveluiden varmuuskopiointipalveluja tai määritä itsellesi kalenterimuistutukset.

Kuinka näytön lukitseva kiristysohjelma poistetaan

Jos kiristysohjelma on lukinnut näytön, uhrin ensimmäinen haaste on päästä käsiksi suojausohjelmistoonsa. Kokeile käynnistää tietokone vikasietotilassa. Näytön lukitus ei välttämättä lataudu ja pääset käyttämään virustorjuntaohjelmaasi taistellaksesi haittaohjelmaa vastaan.

Kannattaako lunnaat maksaa vai ei?

Lunnaiden maksua ei yleisesti suositella. Tosielämän panttivankitilanteessa neuvottelua vältetään. Samanlaista lähestymistapaa tulisi noudattaa, kun tiedot on kaapattu. Lunnaiden maksua ei suositella, koska ei ole takuuta, että kiristäjät täyttäisivät lupauksensa poistaa tietojen salaus. Lisäksi maksu kannustaa tämänkaltaisiin rikoksiin. Sitä pitäisi ehdottomasti välttää.

Jos kuitenkin aiot maksaa lunnaat, sinun ei pitäisi poistaa kiristysohjelmaa tietokoneeltasi. Itse asiassa kiristysohjelmasta tai kyberrikollisten purkusuunnitelmasta riippuen kiristysohjelma saattaa olla ainoa tapa suorittaa salauksenpurkukoodi. Ohjelmiston liian aikainen poisto siis tekisi kalliilla hinnalla ostetusta salauksenpurkukoodista käyttökelvottoman. Jos olet saanut purkukoodin ja se toimii, sinun pitäisi poistaa kiristysohjelma laitteesta mahdollisimman pian tietojen salauksen purkamisen jälkeen.

Kiristysohjelmien tyypit: Mitä eroja menettelytavoissa on?

Kiristysohjelmia on monia erilaisia. Joidenkin asennuksen poisto onnistuu muutamassa sekunnissa. Osa laajalle levinneistä viruksista on sen sijaan huomattavasti monimutkaisempia ja niiden poistaminen vie aikaa.

Kiristysohjelman tyypistä riippuen ohjelman poisto ja tartunnan saaneiden tiedostojen salauksen purku vaihtelee. Kaikkiin eri kiristysohjelmatyyppeihin toimivaa salauksenpurkutyökalua ei ole olemassa.

Seuraavat kysymykset on tärkeä ottaa huomioon valittaessa kiristysohjelmalle sopivaa poistotapaa:

  • Minkä tyyppinen virus laitteen on saastuttanut?
  • Onko sopivaa salauksenpurkuohjelmaa olemassa ja jos on, mikä?
  • Kuinka virus pääsi järjestelmään?

Ryuk on saattanut päästä järjestelmään Emotet-ohjelman kautta, jolloin ongelma pitää ratkaista tietyllä tavalla. Jos kyseessä on Petya-tartunta, vikasietotila on hyvä tapa poistaa se. Lisätietoja eri kiristysohjelmista löytyy täältä.

Yhteenveto

Vaikka käytössä olisivat parhaat varotoimenpiteet, kiristysohjelmahyökkäystä ei koskaan voida sulkea täysin pois. Pahimmassa tapauksessa erinomainen suojausohjelmisto, kuten Kasperskyn ohjelmat, asianmukainen valmistautuminen ja varovainen toiminta auttavat vähentämään hyökkäyksen seurauksia. Pidä mielessä kiristysohjelmahyökkäyksen varoituksen merkit. Siten voit tunnistaa ne ja taistella tartuntaa vastaan varhaisessa vaiheessa. Vaikka lunnaita olisi jo vaadittu, sinulla on useita vaihtoehtoja, joista voit valita tilanteeseesi sopivimman. Muista, että varmuuskopion säännöllinen tallennus tiedoista vähentää huomattavasti hyökkäyksen aiheuttamaa tuhoa.

Kiristysohjelman poisto | Tietojen salauksen purku – kuinka virus tuhotaan

Salaustroijalaisten tunnistus, kiristysohjelmien poisto tietokoneelta ja tietojen salauksen purku: kerromme kuinka ne tehdään.
Kaspersky Logo