RDP Зашифрованы файлы расширение .BLOCKING : Windows

Vlad_German · █ 03.04.2013 22:52

Вкратце история: с 01.04 идет атака на вин сервера на которых открыт рдп для всех ип адресов. Версия программы -3. Эти орлы развлекаются так с сентября прошлого года, учтены старые ошибки остановки вроде не намечается всем пофигу. Взлом идет брутфорсом паролей. Взлом происходит ночью по Москве, загружается делфийский экзешник который шифрует все файлы не занятые операционной системой и до которых имеется доступ пользователю к которому подобран пароль. Шифрование идет по алгоритму похожему на blowfish. Антивирусные компании по этому поводу не чешуться -не их профиль. Если у вас на точке стоит 1-2 компьютера и у пользователя рдп есть доступ до места где храниться беккап вы можете получит очаровательную ситуацию - у вас будут зашифрованы не только файлы баз данных но и беккапы. Стоимость выкупа - 10 т.р рублей. Лекарства пока нет. Атака 3 ночь - уже набрали как минимум 150-200 серверов. Рекомендации - закрыть рдп, поставить ограничения на ип адреса с которых возможен доступ, при невозможности ограничить ввода неправильного пароля 1-2 попытками, после чего блокировка пользователя
http://forum.kaspersky.com/index.php?showtopic=260680

twix · █ 04.04.2013 00:31

Может быть интересно почитать на эту тему:

KirillHome · █ 04.04.2013 04:58

Вроде как простая рекомендация по смене порта RDP - тоже помогает.

Dim · █ 04.04.2013 08:34

Цитата:

KirillHome ➤ Вроде как простая рекомендация по смене порта RDP - тоже помогает.

+1 у нас все рдп-подключения идут на нестандартные порты

Vovantus · █ 04.04.2013 10:56

а у нас предварительно впн создаётся и уже через него потом рдп.

Maximus · █ 04.04.2013 14:56

тоже не понимаю, как можно без vpn выставлять наружу rdp,
у знакомого с пару месяцев назад также шифранули базу 1с со всеми бэкапами, просили как раз 10 тыр, теоретически, если вовремя заметить и отключить комп, пока не закончилось шифрование и ключ не удален, то лаборатория касперского может запилить утилиту для рассшифровки special for you (если конечно у вас есть лицензионный касперыч)
больше антивирусы тут не представляю что могут сделать, если пароль пользователя скомпрометирован, то с точки зрения системы пользователь шифрует сам... может пьяный, как знать

Mtirt · █ 04.04.2013 14:59

Цитата:

Maximus ➤ тоже не понимаю, как можно без vpn выставлять наружу rdp,
у знакомого с пару месяцев назад также шифранули базу 1с со всеми бэкапами, просили как раз 10 тыр, теоретически, если вовремя заметить и отключить комп, пока не закончилось шифрование и ключ не удален, то лаборатория касперского может запилить утилиту для рассшифровки special for you (если конечно у вас есть лицензионный касперыч)
больше антивирусы тут не представляю что могут сделать, если пароль пользователя скомпрометирован, то с точки зрения системы пользователь шифрует сам... может пьяный, как знать

Я такое недавно видела. Причем это мне так доступ сделали. Я очень долго материлась...

KirillHome · █ 04.04.2013 20:51

Ну ладно, пароль подбирают бутфорсом.
А логин откуда берут?
Или - под стандартным Administrator/Администратор?

OlegON · █ 04.04.2013 21:01

В RDP в начале года дырку нашли, что-то сильно облегчающее брут. Соответственно, в феврале, вроде, обновление лечило этот косяк. Может, это как-то связано... Старая винда анонимусу точно отдавала список юзеров.

OlegON · █ 20.04.2013 09:49

Пока не накрыло, но, судя по всему, проблема глобальная и на текущий момент не лечится... Т.е. файлы кодируются Blowfish, разобрать кодер никто не может, антивирусники пасуют, включая Касперского и DrWeb. Причем, что еще веселее, требуют 10000 и для контакта оставляют емейлы, которые в последнее время не отвечают.