Вы работаете дома? Тогда мы идем к вам

Незваные гости

добавить в избранное

Вы работаете дома? Тогда мы идем к вам

Прочитали: 22800 Комментариев: 48 Рейтинг: 61

чацвер, 2 ліпень 2020

В нашу техподдержку могут обращаться пользователи других антивирусов (при этом, например, услуги расшифровки от энкодеров для них платные). Интересно, что они могут даже не указать, что не пользуются нашим антивирусом. Выглядеть это будет примерно так:

Заражение компьютера произошло около недели назад, компьютер всегда включен, я его обычно не выключаю, после обычного сеанса работы, пошел спасть, компьютер оставался включенным, только на следующий день обнаружил, что он выключен, при включении я обнаружил что заставка на компьютере пропала, на заставке компьютера письмо вымогателя (файл в приложении), все ярлыки файлов на рабочем столе тоже без отображения иконок и никакая программа не открывается. …Пожалуйста, помогите с расшифровкой файлов.

Естественно, мы просим прислать дополнительную информацию – для этого мы предоставляем пользователю специальную утилиту (так быстрее, чем выяснять, какую версию нашего антивируса тот использует).

В первую очередь пострадавший компьютер должен быть отключен от сети.

Если компьютер выключен, то прежде чем его включать следует сделать резервную копию данных с него.

Для анализа причин шифрования требуется дополнительная информация непосредственно с ПК, где был запущен шифровальщик.

Скачайте, пожалуйста, утилиту dwsysinfo.exe (…/dwsysinfo.exe), сформируйте с помощью нее отчет на пострадавшем ПК и приложите его к своему следующему сообщению.
через Win+R выполните:

cmd /c dir c:\ /a/s > "%userprofile%\dirc.log"

- вывод команды будет сохранен в "%userprofile%\dirc.log", Пришлите, пожалуйста, этот файл (листинг системного раздела).

И тут выясняется:

Обращаю Ваше внимание, что система защищена AVAST, а не Dr.Web.

Но это лирика. Как же произошло заражение?

Один из способов распространения этого энкодера - несанкционированный вход, через подбор пароля одной из учетных записей, по RDP (или через терминальную сессию).

Опять слабые пароли при наличии возможности удаленного входа (напомним, что в ОС Windows он доступен по умолчанию).

А теперь о важном. Переход на удаленную работу привел к тому, что для «домашних» сотрудников открывается удаленный доступ к ресурсам компании. А системные администраторы удаленно настраивают компьютеры. Это рутинный процесс, но в период срочного перехода на удаленную работу число удаленных компьютеров многократно возросло. И началось: статистика свидетельствует о мощном росте количества атак с подбором паролей (брутфорс) по протоколу RDP. Причем это не целевые атаки, а перебор всех доступных адресов – то есть «на удачу».

Если говорить только о серверах, за которыми, по идее, следят специалисты, картина такая:

Только за первую неделю удаленного режима работы число доступных серверов в России увеличилось на 15%, достигнув 75 тыс., а в целом по миру рост составил более 20%.

Источник

А вот обычные компьютеры:

Число компьютеров на Windows в России, уязвимых для попыток доступа по протоколу удаленного рабочего стола (RDP), выросло на 230%.

С ростом количества целей (тех самых RDP) выросло число атак. Так, для подбора паролей к RDP число попыток возросло с 3–5 раз до 9–12. Сами атаки стали продолжаться дольше – от двух до трех часов.

Источник

#взлом #вымогательство #поддержка #шифровальщик #шифрование

Антивирусная правДА! рекомендует

Для защиты от атак на RDP:

Если вам не нужен удаленный доступ – отключите его, закрыв соответствующий порт (3389).
Задайте сложный пароль (не менее 8 символов, содержащий буквы разного регистра, цифры и спецсимволы).
Заблокируйте неиспользуемые учетные записи и установите ограничение на удаленное подключение, оставив возможность подключения только с определенных адресов.
Убедитесь, что установлены все обновления операционной системы.

Если вы работаете с корпоративными ресурсами:

Сделайте RDP доступным только через корпоративный VPN.
Используйте аутентификацию на уровне сети (Network Level Authentication, NLA) и двухфакторную аутентификацию.

Скачайте этот краткий документ и неукоснительно следуйте прописанным в нем правилам.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

GREEN Собкор
17:12:12 2020-09-29

Есть RDP - есть проблемы, нет RDP - нет проблем.
Всё просто!
Но это только в том случае, если удалённый доступ НЕ нужен. А если нужен?
Тогда рекомендации вам в помощь!

Sasha50 Собкор
16:47:50 2020-07-11

Эта неправильно настроенная удаленка в период продолжающегося карантина еще не мало бед принесет для компаний.

Вячeслaв Собкор
11:20:50 2020-07-06

@Любитель_пляжного_футбола, @tigra, все варианты не скажу, но скорее или заходить по защищенному каналу только или перед входом открывать определенное разрешение (послав скажем по почте адрес). Но последнее требует определенной грамотности пользователя

tigra Собкор
16:58:58 2020-07-03

За порт отдельно спасибо, буим знать

kokuxo
01:59:28 2020-07-03

Враги не спят - будьте бдительными

Альфа
23:48:58 2020-07-02

Что тут удивительного? Мошенники тоже перестраиваются и пользуются ситуацией!

Любитель пляжного футбола Собкор
22:06:07 2020-07-02

@Вячeслaв, ясно, большое спасибо за ответ.

Шалтай Александр Болтай Собкор
22:00:08 2020-07-02

Мой дом - моя крепость!

Toma
21:53:09 2020-07-02

Число атак выросло. Пора подамать о защите!

orw_mikle
21:10:34 2020-07-02

Когда 2 месяца сидели на удаленке и из дома работали с корпоративными ресурсами, ни один сис.админ компании не догадался сделать RDP доступным только через корпоративный VPN.

Zserg
21:06:18 2020-07-02

Держи порт закрытым, и корабль вирусов не пройдёт.

Геральт Собкор
20:56:51 2020-07-02

Очень интересно. Почему пользователи других антивирусов пишут в тех.поддержку Доктор Веб, а не своего антивируса?

anatol
20:44:38 2020-07-02

Не все то золото, что блестит: работа на "удаленке" это не только благо, но и ответственность.

runikot
19:50:50 2020-07-02

@Dvakota, да зачем антивирус, у которого ни защиты ни поддержки? С таким же раскладом можно и пасьянс косынку установить, толку от него столько же))

Dvakota
19:48:24 2020-07-02

@runikot, А вдруг прокатит и Dr.Web все сделает бесплатно!

runikot
19:28:40 2020-07-02

Любители халявы, и что же они не пишут в поддержку своего антивируса))

Masha
17:33:00 2020-07-02

Документ с правилами скачала, распечатаю. Спасибо за полезную информацию!

EvgenyZ
14:43:43 2020-07-02

Советы полезные, спасибо! Сохраню в избранное.

vkor
13:26:31 2020-07-02

Рутинизация процессов всегда оборачивается ростом косяков.

eaglebuk
13:16:47 2020-07-02

Но если всё-таки нужен доступ извне, тогда спасёт только сложный пароль? Или не спасёт?

Okcana
13:05:24 2020-07-02

AVAST пользовались,еле удалили.

vinnetou
13:00:05 2020-07-02

Спасибо за полезный выпуск!!! Вспомнили про AVAST,пользовались ранее ,скажу честно хреновая защита.У моего друга был такой,так вот,после установил ему Dr.Web.Результат-быстрая проверка 35 угроз!!! На следующий день запустил у него полную проверку,ещё 22 угрозы!!!Думайте сами,решайте сами!

Dmur
12:38:29 2020-07-02

"Опять слабые пароли при наличии возможности удаленного входа" - одни и те же грабли ...

ЛехаК.
12:11:33 2020-07-02

Зловреды не дремлят, таки норовят стырить ваши данные когда вы немного потеряли бдительность. С Avast согласен, раньше на нем сидел, но меня задолбало переустанавливать винду по 3 раза в год, перешел на DrWeb и перестал этим заниматься, вот уже 7 лет винда робит без проблем и вирусов.

Денисенко Павел Андреевич
12:07:13 2020-07-02

Правильные и очень грамотные рекомендации, спасибо.

gebrakk
10:54:22 2020-07-02

Пользовалась AVAST.Отказалась от него после того ,как ПК был заражен.Перешла на Д_р Веб и сплю спокойно. Спасибо за информацию : о порте 3389 не знала, воспользуюсь обязательно.

kozinka.ru Собкор
10:48:37 2020-07-02

Выпуск хорош своими практическими рекомендациями. Однозначно - в избранное! Спасибо!

Sergey
10:22:03 2020-07-02

Мало того, что AVAST оскандалился со сбором и перепродажей сторонним организациям данных пользователей, так он еще допускает спокойное проникновение шифровальщика в систему со всеми вытекающими последствиями. Хорош защитник, нечего сказать)) Зато в тестах антивирусных лабораторий (AV-Test, AV-Comparatives) этот гигант постоянно занимает высокие места и рейтинги. Спасибо за выпуск и рекомендации, возможность удаленного доступа в Windows я отключаю сразу после установки новой версии.

Неуёмный Обыватель Собкор
10:21:41 2020-07-02

@Вячeслaв, ясно, сегодня не мой день, нужно к доктору :(

Татьяна
10:18:51 2020-07-02

Интересная статья про RDP. Нужно потом будет почитать информацию по ссылкам.

Вячeслaв Собкор
10:15:27 2020-07-02

@Неуёмный_Обыватель, Пуск, стандартные, подключение к удаленному...

Неуёмный Обыватель Собкор
10:11:46 2020-07-02

@Вячeслaв, спасибо, но я как бы спрашивал про обратную операцию. Не про остановку, а про запуск. Просто в выпуске написано, что по умолчанию включен рдп.

Вячeслaв Собкор
10:04:09 2020-07-02

@Любитель_пляжного_футбола, нет, закрывать порт уже не обязательно. По нему уже никто не слушает на прием после остановки сервисов

Вячeслaв Собкор
10:02:51 2020-07-02

@Неуёмный_Обыватель, был выпуск на эту тему. Про редактирование списка запущенных сервисов. Открываете список сервисов, останавливаете ненужные, ставите для них запрет на запуск

TV
09:47:38 2020-07-02

Как всегда, четкие информативные рекомендации, ничего лишнего, за это и люблю читать такие выпуски. Спасибо!

Mara
09:25:03 2020-07-02

Спасибо за информацию, воспользуюсь советом.

Александр
09:16:41 2020-07-02

Спасибо за информацию о порте (3389), честно говоря даже не знал.

Неуёмный Обыватель Собкор
08:14:22 2020-07-02

Забыл слово "пожалуйста" :)

Неуёмный Обыватель Собкор
08:13:06 2020-07-02

"напомним, что в ОС Windows он доступен по умолчанию"
Как же так? Разве в домашних версиях не отсутствует вообще этот компонент? Если он действительно включен, научите, как воспользоваться, а то мучаюсь через сторонние приложения удаленного доступа.

ka_s
08:09:39 2020-07-02

Сохранил выпуск. Профилактику запланировал на выходные.

Vlad X
08:02:27 2020-07-02

Надо проверить этот порт.

Slava90
07:51:32 2020-07-02

Полезная информация, спасибо.
Сохраню в библиотеку.

Пaвeл Собкор
07:28:22 2020-07-02

«С ростом количества целей выросло число атак» Ну, это естественно.
Информация полезная, сохраню.

Любитель пляжного футбола Собкор
06:54:34 2020-07-02

"...оставив возможность подключения только с определенных адресов..."

Как понимаю, с определённых IP-адресов. Только проблемка в том, что у многих нет постоянного IP-адреса...

Интересно, если я уже отключил службу удалённого доступа (в списке служб), то нужно ли дополнительно отключать порт 3389? Нет, наверное.

Alexander Собкор
05:09:47 2020-07-02

Так оно и есть, - новые коммуникации - это новые возможности для злоумышленника проникнуть в сеть интересующей корпорации. И протокол RDP с подбором паролей, без всяких заморочек, с использованием вульгарного и тупого брутфорса, - один из простых способов.

Спасибо за советы. Они особенно актуальны в свете вероятного сохранения "удалёнки" на долговременной стандартной основе. Стоит озаботиться обустройством более надёжной защиты.

А "Доктор Веб" - на высоте! Так держать!

achemolganskiy
05:04:41 2020-07-02

Полезная инфа. В библиотеку - на будущее, авось пригодится.

Morpheus Собкор
04:44:19 2020-07-02

Опрометчиво поступают те админы, которые в сеть открывают 3389 :)

L1t1um
04:36:14 2020-07-02

Спасибо за полезный выпуск! Добавлю-ка я выпуск в избранное.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Вы работаете дома? Тогда мы идем к вам

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей