Poliisi pääsi kiristyshaittaohjelman jäljille erikoisen soiton jälkeen neljä vuotta sitten. Puhelin soi ennen iltapäiväneljää Itä-Uudenmaan poliisilaitoksella.
– Maksoin sen halvatun sakon, poistakaa lukitus ennen kuin muija tulee kotiin! huusi tunnekuohussa oleva mies kiroillen ankarasti.
Mies vaati koneensa avaamista, sillä kone oli lukittu ja ruudulla vaadittiin sadan euron maksua poliisin nimissä. Tällöin puhelimeen vastannut poliisi kuuli asiasta ensimmäistä kertaa.
– Soitin nykyiseen Kyberturvallisuuskeskukseen, KRP:lle ja F-Securelle. Kukaan ei tuntenut menossa olevaa ransomware-kampanjaa. Oltiin ”etupellossa”, rikosylikontaapeli Jari Javajainen muistelee Viestintäviraston sivuilla julkaistussa kirjoituksessaan.
Lukitusta ei ollut mahdollista poistaa
Kyseisen poliisin tulossa olleet vapaapäivät saivat odottaa. Alkoi poliisina esiintyneen Reveton-kiristyshaittaohjelman tutkinta.
Reveton lukitsi miehen koneen, muttei aiheuttanut siihen muuta vahinkoa. Vaikka uhri maksaisi uhkasakon, eivät ohjelman asentaneet rikolliset olisi edes pystyneet poistamaan lukitusta.
Poliisi tiedotti haittaohjelmasta yhtä aikaa Viestintäviraston ja F-Securen kanssa.
Tutkinnassa selvisi, että rikollisten palvelin sijaitsi maassa, jota ei tunnettu nopeasta toiminnasta kyberrikosten selvityksissä. Poliisin mukaan rikolliset tietävät nämä maat.
Haittaohjelma alkoi levitä nopeammin kuin sitä ehdittiin pysäyttää. Viestintäviraston ja poliisin asiakaspalvelu tukkiutui ihmisten lukituksen poisto -kysymyksistä. Päätettiin avata tiedonjakoa varten www.ransomware.fi -sivusto.
Prepaid-kortilla maksu
Ideana haittaohjelmassa oli, että kiristyksen uhrin piti ostaa ”sakkoa” varten prepaid-kortti. Suomessa oli käytössä vain yksi tähän sopiva kortti, PaySafeCard, jota myi R-kioski. Poliisi toimi yhdessä sekä kortin tarjoajan että R-kioskin kanssa ja sai varoitettua asiakkaita.
Yhteensä Suomen poliisille tehtiin haittaohjelmasta 1000 rikosilmoitusta. Suurimmalle osalle saatiin rahat palautettua. Uhreja pelkästään Suomessa oli kymmeniätuhansia.
Espanjan poliisi sai kiinni osan rikollisista, ja Suomesta löytyi yksi pääpalvelimista. Palvelin oli vuokrattu Venäjältä, ja tekijät eivät jääneet kiinni.