Вход | Регистрация

  1  2   
Информационные технологии ::

Метки: 

OFF: Атака на Windows 10 по RDP

Я
   falselight
 
05.10.17 - 08:43
Здравствуйте! Поделитесь информацией, как это может происходить?
Владелец сервера говорит что через rdp который он дал для
удаленного доступа к нему залезли недоброжелатели. Поставили
вымогатель, зашифровали каталоги и требуют выкуп.
Система Windows 10. Вообще пароль и пользователь не сложный был
на доступ по rdp. Бывает такое или это флуд?
 
 
   Asmody
 
1 - 05.10.17 - 08:46
(0) Бывает. Выставить RDP в интернет — это как с голой жёпой в Амстердаме прогуляться. Найдёшь приключений на 146%
   Мелифаро
 
2 - 05.10.17 - 08:46
А что невозможного?
Другое дело, что даже несложный пароль брутфорсом по рдп подобрать проблематично с виндовой политикой безопасности по умолчанию. Скорее всего пароль уже знали.

В каком контексте он это утверждает? Профачил какие-то обязательства перед вами, или просто спрашивает, как ему быть?
   falselight
 
3 - 05.10.17 - 08:47
(1) В смысле выставить?
Вам не разу не давали доступ по rdp?
   Trimax
 
4 - 05.10.17 - 08:48
(0) А как он узнал, что именно по rdp?
   falselight
 
5 - 05.10.17 - 08:49
(2) Ну то что вымогатель у них появился, якобы через меня.
Блеф 100%. Единственное что было, это то что пользователя rdp выкидывало 2 раза. Или не было возможности зайти потом,
черный экран. Или когда появилась картинка не было управления. Владелец утверждает что никто он него не заходил!!!
   Asmody
 
6 - 05.10.17 - 08:49
(3) Предлагали. Но я с кем попало ни-ни. И вообще, избегайте случайных связей и пользуйтесь презервативами VPN.
   falselight
 
7 - 05.10.17 - 08:49
(4) Он предоставил доступ по rdp. Ну и то что случается
решает что это из за этого. Пока не понятная ситуация.
   vicof
 
8 - 05.10.17 - 08:50
Недоброжелатели в лице Ливингстара :))
   falselight
 
9 - 05.10.17 - 08:50
(6) VPN это же защита того кто вам предоставляет доступ, но не вас?
   Asmody
 
10 - 05.10.17 - 08:50
(5) Пусть в интернетах про недавний ваннакрай почитает.
 
 
   Мелифаро
 
11 - 05.10.17 - 08:51
(6) А еще лучше юзать сервер шлюза терминалов. Или и то, и другое.
   falselight
 
12 - 05.10.17 - 08:52
(11) То есть rdp крайне не надежная вещь, в плане того что
присоседиться сможет посторонний без труда?
   Looking
 
13 - 05.10.17 - 08:53
(0)"Владелец сервера говорит что через rdp который он дал для
удаленного доступа к нему залезли недоброжелатели. Поставили
вымогатель, зашифровали каталоги и требуют выкуп."

может у него в данной ОС еще учетки были с админскими правами и без паролей или со слабыми паролями, и после того как рдп был выставлен в общий доступ этими учетками и подключились
   Trimax
 
14 - 05.10.17 - 08:54
(7) Бред насяльника не желающего платить. Принеси ему флешку с вирусом или письмо таковое отправь. Посмотри результат.
   Looking
 
15 - 05.10.17 - 08:54
(12)если открываете рдп в интернет, то все учетки ОС данного ПК должны быть со сложными паролями.
   Trimax
 
16 - 05.10.17 - 08:55
(12) Секс то-же крайне ненадежная для здоровья "вещь".
   falselight
 
17 - 05.10.17 - 08:55
(13) Пароли слабые.
Я ответственному за это говорю, поставь 16 ричные пароли.
Он говорит не нужно. Пароли любой сложности ломаются в 2 счета. Вот и толкём воду. А в чем проблема так и не ясно.
   Fram
 
18 - 05.10.17 - 08:55
(0) шифровальщики обычно с почтой приходят
   Trimax
 
19 - 05.10.17 - 08:57
(17) Т.е. пользователей по РДП>1? Тогда почему именно на тебя "батон крошат"?
   Looking
 
20 - 05.10.17 - 08:57
(17)"Пароли слабые"

этого достаточно для ситуации (0)
   falselight
 
21 - 05.10.17 - 08:57
(19) Да не один. Ну я не вижу же их там.
Да маятник они все, очевидно.
   Looking
 
22 - 05.10.17 - 08:58
(18)"шифровальщики обычно с почтой приходят"

была как-то ситуация заражения именно по рдп, хорошо, что учетка была ограниченная и зашифровали только то, к чему у нее был доступ, пароль на учетке слабый был.
   Looking
 
23 - 05.10.17 - 08:59
(0)"зашифровали каталоги"

у твоей учетки был доступ к этим каталогам?
   Trimax
 
24 - 05.10.17 - 08:59
(17) А ты, "мил человек", не качал, случайно, обработки для 8-ки с инета, с непроверенных источников?
Я год назад "скачал перенос между базами", аваст и нод "сглотнули" а каспер обнаружил.
   Fram
 
25 - 05.10.17 - 09:00
(22) как определили что по рдп?
   FN
 
26 - 05.10.17 - 09:01
Встречал такой же случай. По логам несколько месяцев шёл брутфорс с логинами типа Вася, Петя. Примерно раз в минуту.

В итоге подобрали Таню с паролем 1717 и зашифровали все, до чего дотянулись.
   Мелифаро
 
27 - 05.10.17 - 09:08
(26) >По логам несколько месяцев шёл брутфорс с логинами типа Вася, Петя. Примерно раз в минуту.

В итоге подобрали Таню с паролем 1717 и зашифровали все, до чего дотянулись.

Надо сказать, админ в этом случае - редкостный дегенерат.
   Looking
 
28 - 05.10.17 - 09:09
(25)сервак был чисто под 1С, и время совершения было таким, что из пользователей никто не работал, что-то в районе 3 - 4 часов утра.
   falselight
 
29 - 05.10.17 - 09:11
Заходил сейчас! Жесть полная.
В каждом каталоге лежит файл PAROL.
Какие то скрипты, везде сообщения что у вас все запаролено!!!
   falselight
 
30 - 05.10.17 - 09:12
Сам файл скопировал. Могу поделиться содержимым.

ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!!
==================================================================================
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ
CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru
============================================================================================
ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА - ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!!
ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!!
====================================================================================
НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!!
====================================================================================
ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ
ВАМ ОБРАТНО !!!
====================================================================================



УКАЗЫВАЙТЕ СВОЙ ID НОМЕР


ВАШ ID WTEN_9....
========================
   Глобальный_Поиск
 
31 - 05.10.17 - 09:14
А почему решили что это по рдп, а не какой-нить вирус-шифровальщик из почты?
   Мелифаро
 
32 - 05.10.17 - 09:14
Ну все, трындец котенку.

Насчет 96 часов только вранье для ускорения получения бабла.

Остается только договариваться, если одмин юный, свежий и еще не научился параноидально делать бэкапы всего и вся.
   Looking
 
33 - 05.10.17 - 09:14
(29)еще раз - Вам учетку выдавали с ограниченными правами? каталоги зашифрованы только в пределах прав Вашей учетки?
 
  Рекламное место пустует
   FN
 
34 - 05.10.17 - 09:14
(27) там его нет
   falselight
 
35 - 05.10.17 - 09:15
(23) Был. Сейчас базы 1с не открываются.
Как будто их нет.
   Looking
 
36 - 05.10.17 - 09:15
+(28)пример имени файла после того шифровальщика
1Cv7.MD.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 5@07@416114300}-email-base1c1c1c@gmail.com-ver-4.0.0.0.cbf
   falselight
 
37 - 05.10.17 - 09:16
(31) Ну ок, вирус шифровальщик значит.
Порты смотрели вроде не прощупывались.
Возможно он, сейчас тогда нужно искать
решение как это вылечить.
   falselight
 
38 - 05.10.17 - 09:17
(33) Да, вроде как говорят учетная запись не с полными правами.
   Fish
 
39 - 05.10.17 - 09:17
(37) К Касперскому обращались? Вот подобная тема: https://forum.kasperskyclub.ru/index.php?showtopic=55647
   NorthWind
 
40 - 05.10.17 - 09:17
(17) пароли ломаются не в два счете. Если нет уязвимости, то ломаются они перебором. И вот тут есть принципиальная разница - сколько символов и используется ли произвольный набор букв или слово которое есть в словарях. Может получиться быстро, а может и много лет ломать надо.
   Глобальный_Поиск
 
41 - 05.10.17 - 09:19
(37) никак, или платить или бэкапы восстанавлмвать
   falselight
 
42 - 05.10.17 - 09:19
(24) Да не особо вроде.
   falselight
 
43 - 05.10.17 - 09:20
(41) Бэкапы то есть .dt?
Он их не покорежил?
   Fish
 
44 - 05.10.17 - 09:21
(43) Так это вам виднее, покорёжил или нет.
   Looking
 
45 - 05.10.17 - 09:23
(38)а время шифрования какое? какое время у созданных файлов? Вы в это время работали в сеансе?
   falselight
 
46 - 05.10.17 - 09:25
(44) Пока объявлен карантин!
   Looking
 
47 - 05.10.17 - 09:27
(46)кем и где объявлен? в чем выражается?
   falselight
 
48 - 05.10.17 - 09:28
(45) Пока не могу ничего посмотреть. Нет сегодня
я не входил на этот компьютер.

Время создания этого файла PAROL может это?

Изменен: 5 ?октября ?2017 ?г., ??5:54:09

Потому что время создан и открыт

?5 ?октября ?2017 ?г., ??12:59:23

Это время переноса этого файла к себе.
   falselight
 
49 - 05.10.17 - 09:29
(47) ПК, это выключили. И будут с ним детально разбираться.
Потом решать будем что делать.
Если там пишут что ни переустановка ни что не поможет. Какие есть варианты?
Форматирование всех дисков?
 
  Рекламное место пустует
   Looking
 
50 - 05.10.17 - 09:30
(48)да, значит шифрование происходило в 5:54 утра. в это время за ПК работал кто-нибудь?
   Fish
 
51 - 05.10.17 - 09:30
(49) Вариант обратиться к специалистам не рассматривается?
   falselight
 
52 - 05.10.17 - 09:31
(50) Нет. Он стоял включенным для удаленного доступа к нему для работы.
   falselight
 
53 - 05.10.17 - 09:32
(51) Да все возможное будет рассматриваться видимо.
Но эти специалисты затребуют же средств. Одобрит ли это
работодатель.
   Looking
 
54 - 05.10.17 - 09:32
+(50)время характерное, в том случае про который я пишу шифрование также производилось между 5 и 6 часами утра
   Looking
 
55 - 05.10.17 - 09:32
+(54)похоже вирус придерживается принципа "Кто рано встает, тому Бог подает"
   Fram
 
56 - 05.10.17 - 09:34
(50) а кто сказал что шифровальщик начинает шифровку сразу же?
   Looking
 
57 - 05.10.17 - 09:34
(52)тогда очень похоже на проникновение через rdp, но вовсе не обязательно, что под Вашей учеткой, в Журналах событий вроде-бы должно быть видно под чьей учеткой был вход?
   falselight
 
58 - 05.10.17 - 09:36
Посмотрел сейчас, там реально все зашифрованно, и .dt и все документы, все....!
   Fram
 
59 - 05.10.17 - 09:36
(57) время зашифрованных файлов - странное основание для предположения проникновения по рдп
   falselight
 
60 - 05.10.17 - 09:37
(57) Другие вроде пока не начинали работу ещё.
Систему переустановили в субботу. До этого была работа
по team viewer. То есть под ним и нужно было бы продолжить работу? Там не было никаких атак вроде.
   Fish
 
61 - 05.10.17 - 09:37
(58) Т.е. так называемые "бэкапы" хранились на том же диске, что и данные? ССЗБ.
   DGorgoN
 
62 - 05.10.17 - 09:39
(59) По РДП ломануть если РДП не настроен это делов на часик-другой.
   falselight
 
63 - 05.10.17 - 09:39
(61) Я не сис. админ.
Есть диск C, есть диск backup, на нем все и было в
разных каталогах.
Это все из за того что был слабый пароль?
   DGorgoN
 
64 - 05.10.17 - 09:40
   DGorgoN
 
65 - 05.10.17 - 09:40
(63) Канешн, создаешь лям подключений в одно время и перебираешь.
   Йохохо
 
66 - 05.10.17 - 09:44
   Fish
 
67 - 05.10.17 - 09:44
(63) Это всё из-за того, что кто-то решил сэкономить на админе, который способен настроить безопасное подключение. А скупой, как известно, платит дважды.
   Trimax
 
68 - 05.10.17 - 09:46
   Looking
 
69 - 05.10.17 - 09:50
(59)в Журнале событий ведь должны быть записи о сеансе?
   falselight
 
70 - 05.10.17 - 09:50
(67) Можно поподробнее безопасное подключение по rdp,
как именно оно строится? Теоретически.
   falselight
 
71 - 05.10.17 - 09:51
(69) Будут смотреть. Журнал событий Win 10 имеете ввиду?
А если скрипт? Как это выявить?
Журнал событий если было по rdp. А если не rdp как выявить?
   Fish
 
72 - 05.10.17 - 09:53
(70) Так в яндексе почитай, статей куча: https://yandex.ru/yandsearch?&clid=2186623&text=безопасное%20подключение%20по%20rdp&lr=2

А лично я в этом плане вполне доверяю квалифицированным админам, особо не вникая в детали.
   falselight
 
73 - 05.10.17 - 09:54
(72) Понятно. Ну так как я не адимн, тоже не вникаю в детали .... Стараюсь делать свою работу...
   Trimax
 
74 - 05.10.17 - 09:54
(70) А , стесняюсь спросить, сервер терминалов лицензионный или врап, как обычно в жадных конторах?
   CepeLLlka
 
75 - 05.10.17 - 09:55
Логи винды посмотреть что мешает?
   Fish
 
76 - 05.10.17 - 09:56
(73) А для чего тогда ветку завёл? Пусть админы и решают проблему, раз допустили шифрование файлов.
   Trimax
 
77 - 05.10.17 - 09:58
(76) На него "батон крошат". Типа ты работаешь один ночью - ты и запустил вирус. Что вполне возможно, если качать 1С-овские обработки с левых сайтов.
   Fram
 
78 - 05.10.17 - 09:59
(74) что такое врап? и как лицензия (бумажка по сути) решает вопрос безопасности?
   Trimax
 
79 - 05.10.17 - 10:01
   Fish
 
80 - 05.10.17 - 10:02
(77) Для начала надо доказать, что это именно он. А во-вторых, даже если шифровальщик залез с компьютера ТС, то виноваты всё равно админы. Уже хотя бы в том, что бэкапы держат на том же компе.
   falselight
 
81 - 05.10.17 - 10:02
(76) Говорили что это у меня комп заражен.
Что через него кто то влез к ним по rdp.
Я вот и решил поинтересоваться возможно ли такое.
Если у меня заражен как это выявить?
Или я не знаю а ко всем лезет?
Но другие rdp не жаловались.
   Trimax
 
82 - 05.10.17 - 10:02
(78) Без лицензии (бумажки по сути) сервер терминалов не работает:)
   falselight
 
83 - 05.10.17 - 10:03
(77) Не я с этого компа даже в инет не выходил и ничего
не переносил на него такого.
   Trimax
 
84 - 05.10.17 - 10:04
(80) В конторах с таким админом не разбираются а назначают.
   Йохохо
 
85 - 05.10.17 - 10:04
(78) так и решает) пкм на мой компьютер, а там ЗверДВД уиндовс 10 энтерпрайз таблэтка встроена
   Fish
 
86 - 05.10.17 - 10:06
(81) "Если у меня заражен как это выявить? " - Наверное, наличием зашифрованных файлов. Насколько я слышал про шифровальщики, они сначала рассылают себя, а потом шифруют.

Ну и антивирусами разными пройдись. Судя по (39) этот шифровальщик не новый, и значит, антивирусы его уже выявят при наличии.
   Fish
 
87 - 05.10.17 - 10:07
+(86) Если же разные антивирусы ничего не покажут, то смело шли их лесом.
   Trimax
 
88 - 05.10.17 - 10:07
(86) А антивирус аваст или 365 :)
   Fram
 
89 - 05.10.17 - 10:08
(82) ну, вообще то работает, и об этом все знают кроме тебя )
(85) так шифровальщик тут причем?
   falselight
 
90 - 05.10.17 - 10:08
(88) А Avira?
   Trimax
 
91 - 05.10.17 - 10:09
(87) Сначала слать лесом, а потом, за отдельную плату строить защиту.
   Looking
 
92 - 05.10.17 - 10:10
(86)если не новый то можно в ДрВеб отправить образец зашифрованного файла, возможно у них уже есть дешифратор
   Йохохо
 
93 - 05.10.17 - 10:10
(89) дроппер в комплекте
(90) рофл
   falselight
 
94 - 05.10.17 - 10:10
(93) Как это?
   Looking
 
95 - 05.10.17 - 10:12
   NorthWind
 
96 - 05.10.17 - 10:15
(94) Смеется он с вас. Для серьезных вещей авира годится мало. Особенно ее бесплатная версия. Касторского рекомендую, причем если вы хотите защиту от шифровальщиков - придется активировать проактивку и мучиться с ее паранойей - она будет вам рубить в том числе и вполне законные действия. Все это придется долго и муторно подстраивать.
   Trimax
 
97 - 05.10.17 - 10:17
(94) Не парься по мелочам. Твоя первоочередная задача поднять данные. Отправляй файлы к вэбу и касперу. Пробуй их утилиты по дешифрации.
   Джо-джо
 
98 - 05.10.17 - 10:17
(95) Вообще не палятся ребята
   falselight
 
99 - 05.10.17 - 10:18
(96) Ну касперский платный. Нужно покупать.

А эти (88) же тоже бесплатные? И они лучше авиры?
   Trimax
 
100 - 05.10.17 - 10:20
(99) монописуальны. Ты точно из России?

  1  2   

Список тем форума
Рекламное место пустует   Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует