Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (91)
  • добавить в избранное
    Добавить в закладки

Вы работаете дома? Тогда мы идем к вам

Прочитали: 1812 Комментариев: 47 Рейтинг: 51

В нашу техподдержку могут обращаться пользователи других антивирусов (при этом, например, услуги расшифровки от энкодеров для них платные). Интересно, что они могут даже не указать, что не пользуются нашим антивирусом. Выглядеть это будет примерно так:

Заражение компьютера произошло около недели назад, компьютер всегда включен, я его обычно не выключаю, после обычного сеанса работы, пошел спасть, компьютер оставался включенным, только на следующий день обнаружил, что он выключен, при включении я обнаружил что заставка на компьютере пропала, на заставке компьютера письмо вымогателя (файл в приложении), все ярлыки файлов на рабочем столе тоже без отображения иконок и никакая программа не открывается. …Пожалуйста, помогите с расшифровкой файлов.

Естественно, мы просим прислать дополнительную информацию – для этого мы предоставляем пользователю специальную утилиту (так быстрее, чем выяснять, какую версию нашего антивируса тот использует).

В первую очередь пострадавший компьютер должен быть отключен от сети.

Если компьютер выключен, то прежде чем его включать следует сделать резервную копию данных с него.

Для анализа причин шифрования требуется дополнительная информация непосредственно с ПК, где был запущен шифровальщик.

  1. Скачайте, пожалуйста, утилиту dwsysinfo.exe (…/dwsysinfo.exe), сформируйте с помощью нее отчет на пострадавшем ПК и приложите его к своему следующему сообщению.
  2. через Win+R выполните:

    cmd /c dir c:\ /a/s > "%userprofile%\dirc.log"

    - вывод команды будет сохранен в "%userprofile%\dirc.log", Пришлите, пожалуйста, этот файл (листинг системного раздела).

И тут выясняется:

Обращаю Ваше внимание, что система защищена AVAST, а не Dr.Web.

Но это лирика. Как же произошло заражение?

Один из способов распространения этого энкодера - несанкционированный вход, через подбор пароля одной из учетных записей, по RDP (или через терминальную сессию).

Опять слабые пароли при наличии возможности удаленного входа (напомним, что в ОС Windows он доступен по умолчанию).

А теперь о важном. Переход на удаленную работу привел к тому, что для «домашних» сотрудников открывается удаленный доступ к ресурсам компании. А системные администраторы удаленно настраивают компьютеры. Это рутинный процесс, но в период срочного перехода на удаленную работу число удаленных компьютеров многократно возросло. И началось: статистика свидетельствует о мощном росте количества атак с подбором паролей (брутфорс) по протоколу RDP. Причем это не целевые атаки, а перебор всех доступных адресов – то есть «на удачу».

Если говорить только о серверах, за которыми, по идее, следят специалисты, картина такая:

Только за первую неделю удаленного режима работы число доступных серверов в России увеличилось на 15%, достигнув 75 тыс., а в целом по миру рост составил более 20%.

Источник

А вот обычные компьютеры:

Число компьютеров на Windows в России, уязвимых для попыток доступа по протоколу удаленного рабочего стола (RDP), выросло на 230%.

С ростом количества целей (тех самых RDP) выросло число атак. Так, для подбора паролей к RDP число попыток возросло с 3–5 раз до 9–12. Сами атаки стали продолжаться дольше – от двух до трех часов.

Источник

#взлом #вымогательство #поддержка #шифровальщик #шифрование

Dr.Web рекомендует

Для защиты от атак на RDP:

  1. Если вам не нужен удаленный доступ – отключите его, закрыв соответствующий порт (3389).
  2. Задайте сложный пароль (не менее 8 символов, содержащий буквы разного регистра, цифры и спецсимволы).
  3. Заблокируйте неиспользуемые учетные записи и установите ограничение на удаленное подключение, оставив возможность подключения только с определенных адресов.
  4. Убедитесь, что установлены все обновления операционной системы.

Если вы работаете с корпоративными ресурсами:

  1. Сделайте RDP доступным только через корпоративный VPN.
  2. Используйте аутентификацию на уровне сети (Network Level Authentication, NLA) и двухфакторную аутентификацию.

Скачайте этот краткий документ и неукоснительно следуйте прописанным в нем правилам.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей