Emotet: Kuinka voit parhaiten suojautua troijalaiselta?

Mitä vakoiluohjelmat oikein ovat?

Emotet on tietokoneiden haittaohjelma, joka alun perin kehitettiin pankkitroijalaiseksi. Sen tavoite oli pystyä käyttämään vieraita laitteita ja vakoilla arkaluontoisia yksityistietoja. Emotetin tiedetään pystyvän huijaamaa perustason virustorjuntaohjelmia ja piiloutumaan niiltä. Kun haittaohjelma on tartuttanut koneen, se leviää madon lailla ja pyrkii soluttautumaan muihin verkon tietokoneisiin.

Emotet leviää pääasiassa roskapostiviestien välityksellä. Sähköposti sisältää haitallisen linkin tai tartunnan saaneen dokumentin. Jos lataat dokumentin tai avaat linkin, haittaohjelma latautuu automaattisesti tietokoneeseesi. Sähköpostit näyttävät hyvin todenmukaisilta ja monet ovatkin joutuneet Emotetin huijaamiksi.

Emotet — termi ja määritelmä

Emotet tunnistettiin ensimmäisen kerran vuonna 2014, kun saksalaisten ja itävaltalaisten pankkien asiakkaat saivat tartunnan troijalaiselta. Emotet oli saanut selville asiakkaiden kirjautumistiedot. Tulevina vuosina virus levisi maailmanlaajuisesti.

Emotet kehittyi pankkitroijalaisesta dropper-ohjelmaksi, mikä tarkoittaa, että troijalainen lataa haittaohjelmia laitteisiin. Ne ovat vastuussa varsinaisista järjestelmään aiheutuvista vahingoista.

Useimmissa tapauksissa Emotet on "pudottanut" seuraavat ohjelmat:

Trickster (tunnetaan myös nimillä TrickLoader ja TrickBot): pankkitroijalainen, joka yrittää saada käyttöönsä pankkitilien kirjautumistietoja.
Ryuk: salaustroijalainen, joka tunnetaan myös kryptotroijalaisena tai kiristysohjelmana. Se salaa tiedot ja siten estää tietokoneen käyttäjää käyttämästä koko järjestelmän tietoja.

Emotetin takana olevien kyberrikollisten tavoitteena on usein kiristää rahaa uhreiltaan. He esimerkiksi uhkaavat julkaista salaisia tietoja, joihin he ovat päässet käsiksi.

Keneen Emotet kohdistaa hyökkäykset?

Emotet hyökkää yksityishenkilöitä samoin kuin yrityksiä, organisaatioita ja viranomaisia kohtaan. Jouduttuaan Emotetin tartunnan kohteeksi vuonna 2018 Fuerstenfeldbruck-sairaala Saksassa joutui sulkemaan 450 tietokonetta ja kirjautumaan ulos pelastushallintakeskuksesta tartunnan hallitsemiseksi. Vuonna 2019 Berliinin muutoksenhakutuomioistuin tartutettiin ja joulukuussa 2019 Giessenin yliopisto. Emotet tartutti myös Hannoverin lääketieteellisen yliopiston ja Frankfurt am Mainin kaupungin hallinnon.

Nämä ovat vain muutamia esimerkkejä Emotet-tartunnoista. Tartunnan saaneiden yritysten salaisen määrän oletetaan olevan paljon suuremman. Monet tartunnan saaneet yritykset eivät oletettavasti ole halunneet raportoida tietomurrosta maineensa menetyksen pelossa.

On hyvä pitää mielessä, että vaikka alkuaikoinaan Emotet kohdisti hyökkäyksensä pääasiassa yrityksiin ja organisaatioihin, troijalaisen kohteena ovat nykyisin pääasiassa yksityishenkilöt.

Mitkä laitteet ovat riskissä joutua Emotetin kohteeksi?

Alkuaan Emotetin tartuntoja havaittiin vain uusimmissa Microsoft Windows -käyttöjärjestelmissä. Kuitenkin vuoden 2019 alussa kävi ilmi, että myös Apple-tietokoneet joutuivat Emotet-hyökkäysten kohteeksi. Rikolliset huijasivat käyttäjiä väärennetyillä sähköposteilla, jotka vaikuttivat tulevan Apple-tuelta. Viesteissä sanottiin yrityksen rajoittavan tilioikeuksia, jos käyttäjä ei vastannut. Uhreja pyydettiin valitsemaan linkki tilin sulkemisen ja Apple-palvelujen poiston estämiseksi.

Kuinka Emotet-troijalainen leviää?

Emotet leviää pääasiassa niin kutsutulla Outlook-keräyksellä. Troijalaiset lukevat jo tartunnan saaneiden käyttäjien sähköposteja ja luovat harhaanjohtavasti todentuntuista sisältöä. Nämä sähköpostit vaikuttavat aidoilta ja henkilökohtaisilta — eli ne poikkeavat tavanomaisista roskaposteista. Emotet lähettää näitä tietojenkalasteluviestejä tallennetuille yhteyshenkilöille, kuten ystäville, perheenjäsenille ja työpaikan kollegoille.

Useimmiten sähköpostit sisältävät tartunnan saaneen Word-dokumentin, joka vastaanottajan pitää ladata, tai vaarallisen linkin. Lähettäjänä näytetään todellinen nimi. Näin ollen vastaanottaja luulee viestin olevan turvallinen: kaikki näyttää aidolta sähköpostilta. Siksi hän (useimmiten) napsauttaa vaarallista linkkiä tai lataa tartunnan sisältävän liitteen.

Kun Emotetilla on pääsy verkkoon, se pystyy leviämään. Samalla se yrittää murtaa tilien salasanoja käyttämällä väsytysmenetelmää. Tämän lisäksi Emotet on levinnyt EternalBlue-hyökkäyksillä ja DoublePulsar-haavoittuvuudella Windowsissa, joka mahdollisti haittaohjelman asennuksen ilman ihmisten väliintuloa. Vuonna 2017 kiristystroijalainen WannaCry kykeni hyödyntämään EternalBlue-hyväksikäyttöä laajaan kyberhyökkäykseen, joka aiheutti valtavasti tuhoja.

Kuka on Emotetin takana?

Saksan liittovaltion tietoturvallisuusvirasto (BSI) uskoo, että

"Emotetin kehittäjät alivuokraavat ohjelmistoaan ja infrastruktuuriaan kolmansille osapuolille."

He myös käyttävät lisähaittaohjelmia omien tavoitteidensa saavuttamiseksi. BSI uskoo, että rikollisten motiivina on raha, minkä vuoksi kyseessä on kyberrikos eikä vakoilu. Kukaan ei kuitenkaan tiedä varmasti, kuka Emotetin takana tarkalleen on. Alkuperämaasta on olemassa paljon huhuja, mutta luotettavaa todistusaineistoa ei ole olemassa.

Kuinka vaarallinen Emotet on?

Yhdysvaltain sisäisen turvallisuuden ministeriö on tullut tulokseen, että Emotet on erityisen kallis ohjelmisto, jolla on valtava tuhovoima. Puhdistuskulujen arvioidaan olevaan noin miljoona Yhdysvaltain dollaria tapausta kohden. Sen vuoksi Arne Schoenbohm, Saksan liittovaltion tietoturvallisuusviraston (BSI) johtaja kutsuu Emotetia "haittaohjelmien kuninkaaksi".

Emotet on epäilemättä historian monimutkaisin ja vaarallisin haittaohjelma. Virus on monimuotoinen, mikä tarkoittaa, että sen koodi muuttuu hieman joka kerta, kun sitä käytetään.

Tämän vuoksi virustorjuntaohjelmiston on vaikea tunnistaa virusta: monet viruksentorjuntaohjelmat suorittavat varmenteeseen perustuvia hakuja. Helmikuussa 2020 Binaryn tietoturvallisuustutkijat saivat selville, että Emotet hyökkää nykyisin myös Wi-Fi-verkkoihin. Jos tartunnan saanut laite liitetään langattomaan verkkoon, Emotet tarkistaa kaikki lähistön verkot. Salasanaluetteloa hyödyntämällä virus yrittää päästä sisään verkkoihin ja siten tartuttaa muita laitteita.

Kyberrikolliset käyttävät hyväkseen ihmisten pelkoa. Siksi ei ole yllättävää, että Emotet käytti hyväkseen myös koronaviruksen pelkoa, joka valtasi koko maailman joulukuusta 2019 alkaen. Troijalaisen takana olevat kyberrikolliset usein väärentävät sähköposteja, jotka muka tiedottavat koronaviruksesta ja kouluttavat kansalaisia. Jos siis postilaatikkoosi saapuu tällainen viesti, ole erityisen varovainen viestin liitteiden ja sen sisältävien linkkien suhteen.

Kuinka voin suojautua Emotetilta?

Suojautuaksesi Emotetilta ja muilta troijalaisilta et voi luottaa ainoastaan virustorjuntaohjelmiin. Monimuotoisen viruksen tunnistaminen on vain ensimmäinen askel loppukäyttäjille. Ratkaisua, joka tarjoaisi 100 % suojauksen Emotetia tai jatkuvasti muuttuvia troijalaisia vastaan, ei yksinkertaisesti ole olemassa. Ainoastaan organisatoriset ja tekniset toimet voivat pitää tartuntariskin minimaalisena.

Tässä on muutamia vinkkejä, joilla voit suojautua Emotetia vastaan:

Pysy ajan tasalla. Seuraa uutisia Emotetin kehityksestä. Voit esimerkiksi lukea Kasperskyn Resurssikeskuksen tiedotuksia tai etsiä tietoja itse.
Turvallisuuspäivitykset: on tärkeää, että asennat valmistajien päivitykset mahdollisimman nopeasti sulkeaksesi mahdolliset turvallisuusaukot. Tämä koskee käyttöjärjestelmiä kuten Windows ja MacOS, samoin kuin monia sovelluksia, selaimia, selaimen lisäosia, sähköpostiasiakkaita, Officea ja PDF-ohjelmia.
Virussuojaus: asenna täydellinen virusten ja haittaohjelmien torjuntaohjelma, kuten Kaspersky Internet Security ja tarkasta sen avulla tietokoneesi säännöllisesti haavoittuvuuksien varalta. Näin saat parhaan mahdollisen suojauksen viimeisimpiä viruksia, haittaohjelmia jne. vastaan.
Älä lataa epäilyttäviä sähköpostien liitteitä tai napsauta arveluttavia linkkejä. Jos olet epävarma sähköpostin oikeellisuudesta, älä ota riskejä vaan ota yhteyttä viestin lähettäjään. Jos sinua pyydetään suorittamaan makro tai lataamaan tiedosto, älä tee niin missään tapauksessa vaan poista tiedosto välittömästi. Näin et anna Emotetille mahdollisuutta päästä tietokoneellesi.
Varmuuskopioi tietosi säännöllisesti ulkoiseen tallennuslaitteeseen. Jos koneesi saa tartunnan, sinulla on tiedoista varmuuskopio, etkä menetä kaikkia laitteesi tietoja.
Käytä ainoastaan vahvoja salasanoja kaikilla tileillä (verkkopankit, sähköpostitilit, verkkoliikkeet). Toisin sanoen, älä käytä ensimmäisen koirasi nimeä, vaan satunnaista kirjainten, numeroiden ja erityismerkkien jonoa. Voit joko keksiä merkkijonot itse tai antaa siihen tarkoitetun ohjelman luoda ne. Monet ohjelmat tarjoavat nykyään mahdollisuuden kaksiosaiseen todentamiseen.
Tiedostotunnisteet: aseta tietokoneesi näyttämään oletuksena tiedostotunnisteet. Näin voit tunnistaa epäilyttävät tiedostot, kuten "Photo123.jpg.exe", jotka ovat tyypillisesti haittaohjelmia.

Kuinka voin poistaa Emotetin?

Ensinnäkin älä hätäänny, jos oletat, että tietokoneesi on saanut Emotet-tartunnan. Ilmoita lähipiirillesi tartunnasta, koska sähköpostiyhteyshenkilösi ovat mahdollisesti vaarassa.

Jos tietokoneesi on yhteydessä verkkoon, eristä se Emotetin leviämisriskin vähentämiseksi. Seuraavaksi sinun pitäisi vaihtaa kaikkien tiliesi kirjautumistunnukset (sähköpostit, verkkoselaimet jne.). Tee tämä eri laitteella, joka ei ole saanut tartuntaa, eikä ole yhteydessä samaan verkkoon.

Koska Emotet on monimuotoinen (eli sen koodi muuttuu hieman joka kerta, kun sitä käytetään), puhdistettu tietokone saattaa nopeasti saada tartunnan uudestaan, jos se yhdistetään tartunnan saaneeseen verkkoon. Siksi sinun pitää puhdistaa kaikki verkkoon yhdistetyt tietokoneet — yksi toisensa jälkeen. Käytä apuna virustorjuntaohjelmaa. Voit myös ottaa yhteyttä ammattilaiseen, kuten virustorjuntaohjelmiston tarjoajaan saadaksesi neuvoja ja apua.

EmoCheck: auttaako se todella Emotetia vastaan?

Japanilainen CERT (Computer Emergency Response Team) on julkaissut työkalun nimeltä EmoCheck, jonka väitetään voivan tarkistaa tietokoneet Emotet-tartunnan varalta. Koska Emotet on monimuotoinen, EmoCheck ei voi taata 100 % varmuutta siitä, että tietokoneessa ei ole tartuntaa.

EmoCheck tunnistaa tyypilliset merkkijonot ja varoittaa käyttäjää mahdollisesta troijalaisesta. On kuitenkin syytä pitää mielessä, että viruksen muuttuvuuden takia tietokoneen puhtautta ei voida taata.

Loppuajatukset

Emotet-troijalainen on yksi vaarallisimmista kyberturvallisuushistorian haittaohjelmista. Kuka tahansa voi joutua sen uhriksi: yksityishenkilöt, yritykset ja jopa maailmanlaajuiset organisaatiot. Kun troijalainen on tunkeutunut järjestelmään, se lataa muita haittaohjelmia, jotka vakoilevat sinua.

Monia Emotetin uhreja mustamaalataan maksamaan lunnaat tietojen takaisinsaamiseksi. Valitettavasti ei ole olemassa ratkaisua, joka takaa täydellisen suojauksen Emotetin tartuntoja vastaan. Tartuntariskin vähentämiseksi voidaan kuitenkin tehdä varotoimia.

Jos arvelet, että tietokoneesi on saanut Emotet-tartunnan, noudata tämän artikkelin toimintaohjeita puhdistaaksesi tietokoneesi ja varmista, että laitteesi on suojattu kattavilla virustorjuntaratkaisuilla kuten Kasperskyn virustorjuntaratkaisut.

Aiheeseen liittyviä artikkeleita: