Miten kiristysohjelma toimii?

Miten kiristysohjelma toimii: vain 60 % saa tiedot takaisin

Kyberhyökkäykset ja miten kiristysohjelma toimii ovat ajankohtaisia riskejä, jotka uhkaavat yritysten kriittistä tietoa ja toimintakykyä. Ymmärtämällä hyökkäysketjun voit tunnistaa haitalliset tiedostot ajoissa. Opettele tunnistamaan vaaran merkit ja suojaamaan tietosi, jotta vältät tietovuodot ja haittaohjelmien aiheuttamat kalliit käyttökatkokset tai tarpeettoman asioinnin verkkorikollisten kanssa.

Miten kiristysohjelma toimii?

Mikä on kiristyshaittaohjelma eli ransomware, joka toimii kaappaamalla laitteesi tiedostot vahvalla salauksella ja vaatimalla lunnaita niiden avaamiseksi. Tilanne voi liittyä moniin eri tekijöihin, kuten huolimattomaan linkin klikkaamiseen tai päivittämättömään ohjelmistoon, ja prosessi etenee yleensä huomaamattomasti taustalla, kunnes on jo liian myöhäistä.

Vuonna 2026 kyberhyökkäykset ovat kehittyneet entisestään, ja arviolta 65% yrityksistä on kohdannut jonkinasteisen kiristysyrityksen viimeisen vuoden aikana. Tämä haittaohjelma ei pelkästään lukitse tiedostoja, vaan nykyään se usein myös varastaa tiedot ennen salaamista, jolloin hyökkääjä voi kiristää uhrinsa lisäksi tietojen julkaisemisella. Muistan itse erään tapauksen, jossa pieni suomalainen perheyritys menetti koko kirjanpitonsa päivässä vain yhden epäilyttävän laskuliitteen vuoksi.

Vaihe 1: Tartunta ja pääsy laitteelle

Kiristyshaittaohjelma tartuntatavat vaihtelevat, mutta yleisin tapa on kalastelusähköposti, jossa käyttäjää huijataan avaamaan haitallinen liite tai klikkaamaan linkkiä, joka lataa koodin koneelle. Noin 80% kaikista ransomware-tartunnoista saa alkunsa juuri sähköpostista, mikä tekee ihmisestä usein tietoturvaketjun heikoimman lenkin.

Muita yleisiä tartuntatapoja ovat: RDP-haavoittuvuudet: Rikolliset etsivät avoimia etäyhteyksiä ja murtautuvat niihin arvaamalla heikkoja salasanoja. Drive-by downloads: Haittaohjelma latautuu automaattisesti, kun vierailet saastuneella verkkosivustolla. Ohjelmistopäivitysten laiminlyönti: Vanhentuneet selaimet tai käyttöjärjestelmät tarjoavat valmiita reikiä hyökkääjille.

Olen nähnyt monen käyttäjän ajattelevan, että en minä koskaan klikkaa mitään epäilyttävää. Mutta totuus on, että nykyaikaiset huijaukset näyttävät pelottavan aidoilta. Ne voivat näyttää pakettien seurannoilta tai it-tuen viesteiltä. Odota vain, kunnes näet, kuinka taitavasti ne on naamioitu.

Vaihe 2: Tiedostojen salaus ja hiljainen tuho

Kun ohjelma on päässyt sisään, se alkaa toimia hiljaisesti taustalla. Se ottaa yhteyden hyökkääjän komentopalvelimeen ja pyytää uniikin salausavaimen. Tämän jälkeen se alkaa käydä läpi kovalevyäsi ja tiedostojen salaus haittaohjelma tyyppisesti salaa tiedostoja yksitellen. Nykyiset ohjelmat pystyvät salaamaan jopa satoja gigatavuja dataa alle tunnissa.

Mielenkiintoista on se, että ohjelma jättää käyttöjärjestelmän tiedostot rauhaan. Miksi? Koska sen täytyy pitää tietokone käynnissä, jotta se voi näyttää sinulle lunnasvaatimuksen. Se tuhoaa kuitenkin usein Windowsin varjokopiot (Shadow Copies) ja muut paikalliset varmuuskopiot, jotta palauttaminen olisi mahdotonta ilman hyökkääjän apua. Teollisuuden benchmarkit osoittavat, että kehittyneet haittaohjelmat onnistuvat tuhoamaan paikalliset varmuuskopiot noin 75 prosentissa tapauksista. ^[3]

Tässä vaiheessa peli on usein jo menetetty. Huomasin kerran erään testiympäristön hidastuvan oudosti ja tuulettimien huutavan hoosiannaa - se oli merkki siitä, että suoritin kävi ylikierroksilla salatessaan tiedostoja. Mutta useimmille käyttäjille ensimmäinen merkki on vasta ilmestyvä tekstitiedosto tai taustakuva, joka kertoo lunnasvaatimus tietokoneella. Se on isku vasten kasvoja.

Vaihe 3: Lunnasvaatimus ja kiristys

Kun salaus on valmis, tiedostopäätteet muuttuvat ja ruudulle ilmestyy ohjeet. Rikolliset vaativat maksua kryptovaluutassa, kuten Bitcoinissa, koska sitä on vaikea jäljittää. Keskimääräinen lunnasvaatimus yrityksille on noussut merkittävästi, mutta yksityishenkilöiltä voidaan vaatia muutamia satoja euroja.

Tässä on yksi asia, jonka useimmat oppaat sivuuttavat, mutta se on kriittinen: miten suojautua kiristysohjelmalta on tärkeämpää kuin lunnaiden maksaminen, joka on valtava riski. Tilastojen mukaan vain osa maksaneista saa kaikki tiedostonsa takaisin. Loput joko eivät saa purkuavainta lainkaan tai se on viallinen, jolloin osa datasta on lopullisesti korruptoitunutta. Rikollisten kanssa asioiminen ei ole koskaan turvallista.

Varmuuskopiointitapojen vertailu kiristystilanteessa

Pilvisynkronointi (esim. OneDrive, Google Drive)

- Matala - salattu tiedosto synkronoituu usein automaattisesti pilveen ja korvaa ehjän version

- Erittäin helppo ja automaattinen jokapäiväisessä käytössä

- Riippuu nettiyhteydestä; versiohistoria voi auttaa, jos se on käytössä

Ulkoiset kovalevyt (aina kiinni koneessa)

- Heikko - kiristysohjelma leviää usein kaikkiin kytkettyihin asemiin ja salaa myös ne

- Helppo, mutta vaatii fyysisen laitteen

- Nopea USB-väylän kautta

⭐ Offline-varmuuskopio (erillään verkosta)

- Erinomainen - haittaohjelma ei voi päästä käsiksi laitteeseen, joka ei ole kytkettynä

- Vaatii manuaalista vaivaa tai erillisen varmuuskopiointiohjelman

- Nopea, ja tiedot ovat takuulla tallessa

Helsinkiläisen muotoilutoimiston taistelu ransomwarea vastaan

Minna, helsinkiläisen pienen muotoilutoimiston osakas, huomasi maanantaina, etteivät viikonlopun aikana tehdyt projektitiedostot auenneetkaan. Tiimi oli turhautunut, sillä tärkeä deadline oli jo seuraavana päivänä.

He kokeilivat ensimmäisenä palauttaa tiedostot suoraan pilvipalvelun synkronoinnista. Se oli virhe - haittaohjelma oli ehtinyt synkronoida salatut versiot ehjien päälle, ja myös pilvessä olevat tiedostot olivat lukossa.

Sitten he muistivat IT-konsultin ohjeen '3-2-1-säännöstä'. Heillä oli kuukausittain otettu varmuuskopio fyysisellä levyllä, jota säilytettiin toimiston ulkopuolella kassakaapissa.

Vaikka he menettivät kahden viikon työt, he saivat yrityksen perustan palautettua 48 tunnissa ilman lunnaiden maksua. Minna oppi, ettei 'automaattinen pilvi' ole sama asia kuin todellinen turva.