OFF: Атака на Windows 10 по RDP #806022

Здравствуйте! Поделитесь информацией, как это может происходить? Владелец сервера говорит что через rdp который он дал для удаленного доступа к нему залезли недоброжелатели. Поставили вымогатель, зашифровали каталоги и требуют выкуп. Система Windows 10. Вообще пароль и пользователь не сложный был на доступ по rdp. Бывает такое или это флуд?

Здравствуйте! Поделитесь информацией, как это может происходить? Владелец сервера говорит что через rdp который он дал для удаленного доступа к нему залезли недоброжелатели. Поставили вымогатель, зашифровали каталоги и требуют выкуп. Система Windows 10. Вообще пароль и пользователь не сложный был на доступ по rdp. Бывает такое или это флуд?

Бывает. Выставить RDP в интернет — это как с голой жёпой в Амстердаме прогуляться. Найдёшь приключений на 146%

А что невозможного? Другое дело, что даже несложный пароль брутфорсом по рдп подобрать проблематично с виндовой политикой безопасности по умолчанию. Скорее всего пароль уже знали. В каком контексте он это утверждает? Профачил какие-то обязательства перед вами, или просто спрашивает, как ему быть?

В смысле выставить? Вам не разу не давали доступ по rdp?

А как он узнал, что именно по rdp?

Ну то что вымогатель у них появился, якобы через меня. Блеф 100%. Единственное что было, это то что пользователя rdp выкидывало 2 раза. Или не было возможности зайти потом, черный экран. Или когда появилась картинка не было управления. Владелец утверждает что никто он него не заходил!!!

Предлагали. Но я с кем попало ни-ни. И вообще, избегайте случайных связей и пользуйтесь VPN.

Он предоставил доступ по rdp. Ну и то что случается решает что это из за этого. Пока не понятная ситуация.

Недоброжелатели в лице Ливингстара :))

VPN это же защита того кто вам предоставляет доступ, но не вас?

Пусть в интернетах про недавний ваннакрай почитает.

А еще лучше юзать сервер шлюза терминалов. Или и то, и другое.

То есть rdp крайне не надежная вещь, в плане того что присоседиться сможет посторонний без труда?

"Владелец сервера говорит что через rdp который он дал для удаленного доступа к нему залезли недоброжелатели. Поставили вымогатель, зашифровали каталоги и требуют выкуп." может у него в данной ОС еще учетки были с админскими правами и без паролей или со слабыми паролями, и после того как рдп был выставлен в общий доступ этими учетками и подключились

Бред насяльника не желающего платить. Принеси ему флешку с вирусом или письмо таковое отправь. Посмотри результат.

если открываете рдп в интернет, то все учетки ОС данного ПК должны быть со сложными паролями.

Секс то-же крайне ненадежная для здоровья "вещь".

Пароли слабые. Я ответственному за это говорю, поставь 16 ричные пароли. Он говорит не нужно. Пароли любой сложности ломаются в 2 счета. Вот и толкём воду. А в чем проблема так и не ясно.

шифровальщики обычно с почтой приходят

Т.е. пользователей по РДП>1? Тогда почему именно на тебя "батон крошат"?

"Пароли слабые" этого достаточно для ситуации

Да не один. Ну я не вижу же их там. Да маятник они все, очевидно.

"шифровальщики обычно с почтой приходят" была как-то ситуация заражения именно по рдп, хорошо, что учетка была ограниченная и зашифровали только то, к чему у нее был доступ, пароль на учетке слабый был.

"зашифровали каталоги" у твоей учетки был доступ к этим каталогам?

А ты, "мил человек", не качал, случайно, обработки для 8-ки с инета, с непроверенных источников? Я год назад "скачал перенос между базами", аваст и нод "сглотнули" а каспер обнаружил.

как определили что по рдп?

Встречал такой же случай. По логам несколько месяцев шёл брутфорс с логинами типа Вася, Петя. Примерно раз в минуту. В итоге подобрали Таню с паролем 1717 и зашифровали все, до чего дотянулись.

>По логам несколько месяцев шёл брутфорс с логинами типа Вася, Петя. Примерно раз в минуту. В итоге подобрали Таню с паролем 1717 и зашифровали все, до чего дотянулись. Надо сказать, админ в этом случае - редкостный дегенерат.

сервак был чисто под 1С, и время совершения было таким, что из пользователей никто не работал, что-то в районе 3 - 4 часов утра.

Заходил сейчас! Жесть полная. В каждом каталоге лежит файл PAROL. Какие то скрипты, везде сообщения что у вас все запаролено!!!

Сам файл скопировал. Могу поделиться содержимым. ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!! ================================================================================== ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru ============================================================================================ ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА - ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!! ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!! ==================================================================================== НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!! ==================================================================================== ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ ВАМ ОБРАТНО !!! ==================================================================================== УКАЗЫВАЙТЕ СВОЙ ID НОМЕР ВАШ ID WTEN_9.... ========================

А почему решили что это по рдп, а не какой-нить вирус-шифровальщик из почты?

Ну все, трындец котенку. Насчет 96 часов только вранье для ускорения получения бабла. Остается только договариваться, если одмин юный, свежий и еще не научился параноидально делать бэкапы всего и вся.

еще раз - Вам учетку выдавали с ограниченными правами? каталоги зашифрованы только в пределах прав Вашей учетки?

там его нет

Был. Сейчас базы 1с не открываются. Как будто их нет.

+пример имени файла после того шифровальщика 1Cv7.MD.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 5@07@416114300}-email-base1c1c1c@gmail.com-ver-4.0.0.0.cbf

Ну ок, вирус шифровальщик значит. Порты смотрели вроде не прощупывались. Возможно он, сейчас тогда нужно искать решение как это вылечить.

Да, вроде как говорят учетная запись не с полными правами.

К Касперскому обращались? Вот подобная тема:

пароли ломаются не в два счете. Если нет уязвимости, то ломаются они перебором. И вот тут есть принципиальная разница - сколько символов и используется ли произвольный набор букв или слово которое есть в словарях. Может получиться быстро, а может и много лет ломать надо.

никак, или платить или бэкапы восстанавлмвать

Да не особо вроде.

Бэкапы то есть .dt? Он их не покорежил?

Так это вам виднее, покорёжил или нет.

а время шифрования какое? какое время у созданных файлов? Вы в это время работали в сеансе?

Пока объявлен карантин!

кем и где объявлен? в чем выражается?

Пока не могу ничего посмотреть. Нет сегодня я не входил на этот компьютер. Время создания этого файла PAROL может это? Изменен: 5 ?октября ?2017 ?г., ??5:54:09 Потому что время создан и открыт ?5 ?октября ?2017 ?г., ??12:59:23 Это время переноса этого файла к себе.

ПК, это выключили. И будут с ним детально разбираться. Потом решать будем что делать. Если там пишут что ни переустановка ни что не поможет. Какие есть варианты? Форматирование всех дисков?

да, значит шифрование происходило в 5:54 утра. в это время за ПК работал кто-нибудь?

Вариант обратиться к специалистам не рассматривается?

Нет. Он стоял включенным для удаленного доступа к нему для работы.

Да все возможное будет рассматриваться видимо. Но эти специалисты затребуют же средств. Одобрит ли это работодатель.

+время характерное, в том случае про который я пишу шифрование также производилось между 5 и 6 часами утра

+похоже вирус придерживается принципа "Кто рано встает, тому Бог подает"

а кто сказал что шифровальщик начинает шифровку сразу же?

тогда очень похоже на проникновение через rdp, но вовсе не обязательно, что под Вашей учеткой, в Журналах событий вроде-бы должно быть видно под чьей учеткой был вход?

Посмотрел сейчас, там реально все зашифрованно, и .dt и все документы, все....!

время зашифрованных файлов - странное основание для предположения проникновения по рдп

Другие вроде пока не начинали работу ещё. Систему переустановили в субботу. До этого была работа по team viewer. То есть под ним и нужно было бы продолжить работу? Там не было никаких атак вроде.

Т.е. так называемые "бэкапы" хранились на том же диске, что и данные? ССЗБ.

По РДП ломануть если РДП не настроен это делов на часик-другой.

Я не сис. админ. Есть диск C, есть диск backup, на нем все и было в разных каталогах. Это все из за того что был слабый пароль?

Канешн, создаешь лям подключений в одно время и перебираешь.

Это всё из-за того, что кто-то решил сэкономить на админе, который способен настроить безопасное подключение. А скупой, как известно, платит дважды.

+ и много и сразу см.

в Журнале событий ведь должны быть записи о сеансе?

Можно поподробнее безопасное подключение по rdp, как именно оно строится? Теоретически.

Будут смотреть. Журнал событий Win 10 имеете ввиду? А если скрипт? Как это выявить? Журнал событий если было по rdp. А если не rdp как выявить?

Так в яндексе почитай, статей куча: А лично я в этом плане вполне доверяю квалифицированным админам, особо не вникая в детали.

Понятно. Ну так как я не адимн, тоже не вникаю в детали .... Стараюсь делать свою работу...

А , стесняюсь спросить, сервер терминалов лицензионный или врап, как обычно в жадных конторах?

Логи винды посмотреть что мешает?

А для чего тогда ветку завёл? Пусть админы и решают проблему, раз допустили шифрование файлов.

На него "батон крошат". Типа ты работаешь один ночью - ты и запустил вирус. Что вполне возможно, если качать 1С-овские обработки с левых сайтов.

что такое врап? и как лицензия (бумажка по сути) решает вопрос безопасности?

Для начала надо доказать, что это именно он. А во-вторых, даже если шифровальщик залез с компьютера ТС, то виноваты всё равно админы. Уже хотя бы в том, что бэкапы держат на том же компе.

Говорили что это у меня комп заражен. Что через него кто то влез к ним по rdp. Я вот и решил поинтересоваться возможно ли такое. Если у меня заражен как это выявить? Или я не знаю а ко всем лезет? Но другие rdp не жаловались.

Без лицензии (бумажки по сути) сервер терминалов не работает:)

Не я с этого компа даже в инет не выходил и ничего не переносил на него такого.

В конторах с таким админом не разбираются а назначают.

так и решает) пкм на мой компьютер, а там ЗверДВД уиндовс 10 энтерпрайз таблэтка встроена

"Если у меня заражен как это выявить? " - Наверное, наличием зашифрованных файлов. Насколько я слышал про шифровальщики, они сначала рассылают себя, а потом шифруют. Ну и антивирусами разными пройдись. Судя по этот шифровальщик не новый, и значит, антивирусы его уже выявят при наличии.

+ Если же разные антивирусы ничего не покажут, то смело шли их лесом.

А антивирус аваст или 365 :)

ну, вообще то работает, и об этом все знают кроме тебя ) так шифровальщик тут причем?

А Avira?

Сначала слать лесом, а потом, за отдельную плату строить защиту.

если не новый то можно в ДрВеб отправить образец зашифрованного файла, возможно у них уже есть дешифратор

дроппер в комплекте рофл

Как это?

Смеется он с вас. Для серьезных вещей авира годится мало. Особенно ее бесплатная версия. Касторского рекомендую, причем если вы хотите защиту от шифровальщиков - придется активировать проактивку и мучиться с ее паранойей - она будет вам рубить в том числе и вполне законные действия. Все это придется долго и муторно подстраивать.

Не парься по мелочам. Твоя первоочередная задача поднять данные. Отправляй файлы к вэбу и касперу. Пробуй их утилиты по дешифрации.

Вообще не палятся ребята