03.04.2013 22:52
Vlad_German
 
Вкратце история: с 01.04 идет атака на вин сервера на которых открыт рдп для всех ип адресов. Версия программы -3. Эти орлы развлекаются так с сентября прошлого года, учтены старые ошибки остановки вроде не намечается всем пофигу. Взлом идет брутфорсом паролей. Взлом происходит ночью по Москве, загружается делфийский экзешник который шифрует все файлы не занятые операционной системой и до которых имеется доступ пользователю к которому подобран пароль. Шифрование идет по алгоритму похожему на blowfish. Антивирусные компании по этому поводу не чешуться -не их профиль. Если у вас на точке стоит 1-2 компьютера и у пользователя рдп есть доступ до места где храниться беккап вы можете получит очаровательную ситуацию - у вас будут зашифрованы не только файлы баз данных но и беккапы. Стоимость выкупа - 10 т.р рублей. Лекарства пока нет. Атака 3 ночь - уже набрали как минимум 150-200 серверов. Рекомендации - закрыть рдп, поставить ограничения на ип адреса с которых возможен доступ, при невозможности ограничить ввода неправильного пароля 1-2 попытками, после чего блокировка пользователя
http://forum.kaspersky.com/index.php?showtopic=260680
04.04.2013 00:31
twix
 
Может быть интересно почитать на эту тему:

04.04.2013 04:58
KirillHome
 
Вроде как простая рекомендация по смене порта RDP - тоже помогает.
04.04.2013 08:34
Dim
 
Цитата:
KirillHome Вроде как простая рекомендация по смене порта RDP - тоже помогает.
+1 у нас все рдп-подключения идут на нестандартные порты
04.04.2013 10:56
Vovantus
 
а у нас предварительно впн создаётся и уже через него потом рдп.
04.04.2013 14:56
Maximus
 
тоже не понимаю, как можно без vpn выставлять наружу rdp,
у знакомого с пару месяцев назад также шифранули базу 1с со всеми бэкапами, просили как раз 10 тыр, теоретически, если вовремя заметить и отключить комп, пока не закончилось шифрование и ключ не удален, то лаборатория касперского может запилить утилиту для рассшифровки special for you (если конечно у вас есть лицензионный касперыч)
больше антивирусы тут не представляю что могут сделать, если пароль пользователя скомпрометирован, то с точки зрения системы пользователь шифрует сам... может пьяный, как знать
04.04.2013 14:59
Mtirt
 
Цитата:
Maximus тоже не понимаю, как можно без vpn выставлять наружу rdp,
у знакомого с пару месяцев назад также шифранули базу 1с со всеми бэкапами, просили как раз 10 тыр, теоретически, если вовремя заметить и отключить комп, пока не закончилось шифрование и ключ не удален, то лаборатория касперского может запилить утилиту для рассшифровки special for you (если конечно у вас есть лицензионный касперыч)
больше антивирусы тут не представляю что могут сделать, если пароль пользователя скомпрометирован, то с точки зрения системы пользователь шифрует сам... может пьяный, как знать
Я такое недавно видела. Причем это мне так доступ сделали. Я очень долго материлась...
04.04.2013 20:51
KirillHome
 
Ну ладно, пароль подбирают бутфорсом.
А логин откуда берут?
Или - под стандартным Administrator/Администратор?
04.04.2013 21:01
OlegON
 
В RDP в начале года дырку нашли, что-то сильно облегчающее брут. Соответственно, в феврале, вроде, обновление лечило этот косяк. Может, это как-то связано... Старая винда анонимусу точно отдавала список юзеров.
20.04.2013 09:49
OlegON
 
Пока не накрыло, но, судя по всему, проблема глобальная и на текущий момент не лечится... Т.е. файлы кодируются Blowfish, разобрать кодер никто не может, антивирусники пасуют, включая Касперского и DrWeb. Причем, что еще веселее, требуют 10000 и для контакта оставляют емейлы, которые в последнее время не отвечают.
Часовой пояс GMT +3, время: 10:42.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.