Kopioissa on myös käyttäjätunnuksia, joilla on yhteinen
nimi ja yhteinen yksilöllinen tunnistenumero. Näiden perusteella voidaan
katsoa, että tiedostorakenteet ovat peräisin varsin todennäköisesti samasta l
ähteestä.

Tutkinnassa ei bekup.tgze-tiedoston sisältöä ole saatu selvitettyä sen ollessa
salattu. Domainscanlist-tiedosto on sisältänyt yli viisisataa miljoonaa
IP-osoitetta mukaan lukien Vastaamoon liittyviä IP-osoitteita.

Käräjäoikeus katsoo tämän
vahvasti viittaavaan siihen, että palvelinyhteydet ovat olleen kiinteitä ja usein
toistuvia.

Tätä aikaa tukee myös Ficolon netflow-loki (S41),
jonka mukaan 26.11.2018, kello 6:38 ja 6:41 (UTC+2) on otettu kaksi kertaa
yhteys Vastaamon MySQL-tietokannan porttiin 3306. Jälkimmäinen
yhteydenotoista on ollut kestoltaan 7 minuuttia 19 sekuntia. Käräjäoikeus
katsoo syyttäjien tavoin, että tämä on se hetki, jolloin Vastaamon
potilastietokanta on kopioitu.

***
Tutkinnassa on lisäksi selvinnyt, että poliisi oli saanut ladattua edellä
mainittua vastaamo.tar-tiedostoa 85 minuutin ajan ja oli saanut ladatuksi sitä
kaikkiaan 1.249,25 megatavua. Latausnopeus oli siten ollut noin 14,7
megatavua minuutissa (2 megabittia sekunnissa). Ainoa poliisin tietämä
kolmas osapuoli oli saanut ladattua pakettia noin 58 minuuttia ja oli saanut
ladatuksi sitä 2.132,66 megatavua latausnopeuden ollessa noin 36,8 megatavua
minuutissa (5 megabittiä sekunnissa).
***

MySQL-ohjelmiston asennus sekä tekstitiedostojen luominen Vastaamon
potilastietokannasta on tehty käyttäen toista ml0-alkuista SSH-avainta. Tämä
seikka puhuu syyttäjien esittämin tavoin toisen mahdollisen tekijän puolesta.

Edellä esitetyin tavoin ml0-avaimella on asennettu
mysql-server-ohjelmisto OPSVM-palvelimelle sekä luotu kiristäjän
myöhemmin käyttämät tekstitiedostot potilastietokannasta. Käräjäoikeus
kuitenkin katsoo, että ml0-avaimen käyttäjän toimenpiteet kyseisenä
ajankohtana ovat olleet hyvin rajattuja. Kaikki keskeiset toimenpiteet tänä
aikana on tehty WI8-avaimella. Muutoinkin ml0-avaimella tehdyt toimenpiteet
vaikuttavat lähinnä sellaisilta, joihin kiristysten tekijä on tarvinnut
ulkopuolista apua.

Asiantuntija Brade on ollut edellä mainitun johtopäätöksen osalta erimielinen
siitä, voidaanko SwabLabin kautta vaihdettu 0,1 bitcoinia, joka puolestaan on
muunnettu 9,8 moneroksi ja mennyt Binacen fuckfuckfuck-tilille, pitää
58 (85)
Mäntymaan kertomin tavoin todennäköisenä. Molemmissa poluissa (A ja B)
on siirtynyt yli 0,1 bitcoinia, ja Braden mukaan ei ole mitään perustetta katsoa,
että osoiterypäs B:stä osoiterypäs C:lle lähetetyt 0,25 bitcoinia ovat varmasti
sisältäneet osan seuratusta 0,1 bitcoinista, koska koko summa on voinut siirtyä
polku A:n kautta muualle, eikä ole mitään keinoa lohkoketjuanalyysin avulla
määrittää siirtyykö seuratusta 0,1 bitcoinista polku B:n kautta 0 prosenttia, 100
prosenttia tai jotain siltä väliltä.

Edellä esitetyn ja aiemmin tässä tuomiossa esitetyn perusteella käräjäoikeus
katsoo näytetyksi, että Keskusrikospoliisin suorittama 0,1 bitcoinin valeosto
on erittäin suurella todennäköisyydellä päätynyt Kivimäen Revolut-pankissa
olleelle tilille.

OPSVM-palvelimella ollutta tiedostoa on muokattu ja tiedostoihin on tehty
suomenkielentaitoa vaatineita hakuja avainsanoilla ”kuul”, ”kuuluis” ja
”kuuluisa”. Samalla SSH-avaimella on kirjauduttu OPSVM-palvelimelle myös
22.10.2020 kello 11:51:32. Tämän jälkeen kaikkiin OPSVM-palvelimella
olleisiin tiedostoihin on tehty hakuja osin suomenkielisillä avainsanoilla
”poliisi”, ”polamk”, ”poliisi.fi”, ”intermin” ja ”keskusta”. Myös edellä
kerrottu tukee johtopäätöstä siitä, että Kivimäki on Vastaamon kiristäjä.

Tietoteknisessä tutkinnassa on selvitetty, että muun muassa potilastietokannan
sisältänyt vastaamo.tar-paketti on ollut sen konfigurointivirheen jälkeen
ladattavissa tunnin ja 41 minuutin ajan ja ettei yksikään tiedossa oleva toimija
ole saanut ladattua koko potilastietokantaa haltuunsa. Keskusrikospoliisi oli
ladannut vastaamo.tar-pakettia 2 megabitin sekuntinopeudella ja eräs
kyberturvayhtiö 5 megabitin sekuntinopeudella, mutta kumpikaan niistä ei
ollut saanut koko potilastietokantaa ladattua.