[ОТВЕТИТЬ]
Опции темы
03.04.2013 22:52  
Vlad_German
Вкратце история: с 01.04 идет атака на вин сервера на которых открыт рдп для всех ип адресов. Версия программы -3. Эти орлы развлекаются так с сентября прошлого года, учтены старые ошибки остановки вроде не намечается всем пофигу. Взлом идет брутфорсом паролей. Взлом происходит ночью по Москве, загружается делфийский экзешник который шифрует все файлы не занятые операционной системой и до которых имеется доступ пользователю к которому подобран пароль. Шифрование идет по алгоритму похожему на blowfish. Антивирусные компании по этому поводу не чешуться -не их профиль. Если у вас на точке стоит 1-2 компьютера и у пользователя рдп есть доступ до места где храниться беккап вы можете получит очаровательную ситуацию - у вас будут зашифрованы не только файлы баз данных но и беккапы. Стоимость выкупа - 10 т.р рублей. Лекарства пока нет. Атака 3 ночь - уже набрали как минимум 150-200 серверов. Рекомендации - закрыть рдп, поставить ограничения на ип адреса с которых возможен доступ, при невозможности ограничить ввода неправильного пароля 1-2 попытками, после чего блокировка пользователя
 
"Спасибо" Vlad_German от:
04.04.2013 04:58  
KirillHome
Вроде как простая рекомендация по смене порта RDP - тоже помогает.
 
04.04.2013 08:34  
Dim
Цитата:
Сообщение от KirillHome
Вроде как простая рекомендация по смене порта RDP - тоже помогает.
+1 у нас все рдп-подключения идут на нестандартные порты
 
04.04.2013 10:56  
Vovantus
а у нас предварительно впн создаётся и уже через него потом рдп.
 
"Спасибо" Vovantus от:
04.04.2013 14:56  
Maximus
тоже не понимаю, как можно без vpn выставлять наружу rdp,
у знакомого с пару месяцев назад также шифранули базу 1с со всеми бэкапами, просили как раз 10 тыр, теоретически, если вовремя заметить и отключить комп, пока не закончилось шифрование и ключ не удален, то лаборатория касперского может запилить утилиту для рассшифровки special for you (если конечно у вас есть лицензионный касперыч)
больше антивирусы тут не представляю что могут сделать, если пароль пользователя скомпрометирован, то с точки зрения системы пользователь шифрует сам... может пьяный, как знать
 
04.04.2013 14:59  
Mtirt
Цитата:
Сообщение от Maximus
тоже не понимаю, как можно без vpn выставлять наружу rdp,
у знакомого с пару месяцев назад также шифранули базу 1с со всеми бэкапами, просили как раз 10 тыр, теоретически, если вовремя заметить и отключить комп, пока не закончилось шифрование и ключ не удален, то лаборатория касперского может запилить утилиту для рассшифровки special for you (если конечно у вас есть лицензионный касперыч)
больше антивирусы тут не представляю что могут сделать, если пароль пользователя скомпрометирован, то с точки зрения системы пользователь шифрует сам... может пьяный, как знать
Я такое недавно видела. Причем это мне так доступ сделали. Я очень долго материлась...
 
04.04.2013 20:51  
KirillHome
Ну ладно, пароль подбирают бутфорсом.
А логин откуда берут?
Или - под стандартным Administrator/Администратор?
 
04.04.2013 21:01  
OlegON
В RDP в начале года дырку нашли, что-то сильно облегчающее брут. Соответственно, в феврале, вроде, обновление лечило этот косяк. Может, это как-то связано... Старая винда анонимусу точно отдавала список юзеров.
 
20.04.2013 09:49  
OlegON
Пока не накрыло, но, судя по всему, проблема глобальная и на текущий момент не лечится... Т.е. файлы кодируются Blowfish, разобрать кодер никто не может, антивирусники пасуют, включая Касперского и DrWeb. Причем, что еще веселее, требуют 10000 и для контакта оставляют емейлы, которые в последнее время не отвечают.
 
 
Опции темы



Часовой пояс GMT +3, время: 15:10.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.