Virus Research: Fake Project Manager Locker

Автор
Сообщение
На сайте c 27.03.2015
Сообщений: 488
Вологда
Цитата xpp_nd_ruphus:
ПС там еще был прикол с запуском скрипта который каждый час запускал дефрагментацию, чего хотел добиться горевзломщик этим - непонятно, с учетом что у меня нет ссд

может хотел увеличить количество записанных секторов, чтобы меньше удаленных оригинальных файлов можно было бы восстановить после.

у меня на NAS пробрались, тоже зашифровали все файлы. просили примерно столько же. но 80% было в бэкапе, решил что 20% инфы того не стоят.

На сайте c 19.02.2011
Сообщений: 3737
Москва
Цитата xpp_nd_ruphus:
там были типичные порты у серверов проброшены в роутере и статичный айпи, и стоял примитивный пароль, поскольку не предполагал, что возможны какие то проблемы и так все работало много лет

У меня как то давно на одном "белом" IP был через роутер проброшен стандартный порт RDP. Пароль правда был сложный. Так вот в винде есть журнал событий, по какой то причине я в него залез, и у видел десятки тысяч событий за пару дней, события типа "попытка входа с учетной записью Администратор, Admin, 1c, server" и т.п. популярные логины. Я сначала пытался бороться, банил, ставил другие порты на RDP, помогало, но не надолго, видимо машинам по всему миру по фиг сколько портов перебирать. В итоге я выключил в роутере проброс RDP порта, но поднял собственный сервер VPN на этой машине. Т.е. чтоб подключиться по RDP достаточно войти в эту сеть VPN, что значительно сложнее для хакеров/ботов, насколько я понимаю, там всякие ключи, шифрование трафика, защиты и т.п. Плюс намного удобнее, когда ты "в одной локалке" с машиной, но только по интернету. 

На сайте c 31.03.2011
Сообщений: 9934
Renderfarm
alexfmos ну VPN это оверкилл вариант по безопасности, но достаточно сложного пароля и софта, который банит при переборе паролей айпишники, если нет конкретной цели взломать именно вас, то этого будет достаточно, а вот если взлом конкретной цели, там ничего не поможет, но чтоб стать такой целью это надо прям конкретно постараться
На сайте c 27.03.2015
Сообщений: 488
Вологда

xpp_nd_ruphus, конкретно у меня брутила крупная подсеть, там очень много айпишников было. Когда логи смотрел - в течение несколько часов не было повторяющихся.

Для себя я сделал вывод - что без бекапа на данный момент жить нельзя. 

Вспоминаю забавную ситуацию. Лет 10-15 назад была. Я тогда установил стороннюю программу для рдп, но что-то меня отвлекло и пароль задать к ней забыл smiley-shok.gif  Через несколько дней валяюсь на кровати, книжку читаю и вижу, вдруг, краем глаза что курсор на компе бегает - я вскочил и бегом к роутеру - выключать его. А супостат тем временем пытался в хроме в сохраненные пароли заползти как можно быстрее. Но в том соревновании он всё таки проиграл, мои ноги оказались быстрее.  

На сайте c 31.03.2011
Сообщений: 9934
Renderfarm
ksonto я тут ради интереса проверял брутилками свои пароли новые, даже со словарями их подбирать порядка миллиона лет, а у меня каждые 2 недели новые
На сайте c 27.03.2015
Сообщений: 488
Вологда
xpp_nd_ruphus, в моем конкретном случае пароль тоже был сложный. но воспользовались уязвимостью в пакете. моей ошибкой было, что отключены обновления операционки NAS. Выводы сделал, теперь двухфакторная идентификация, бекапы в два независимых места, у одного из них нет выхода в инет, ну и обновы теперь включены ) и доступ к веб морде через впн
На сайте c 19.02.2011
Сообщений: 3737
Москва
Цитата xpp_nd_ruphus:
а вот если взлом конкретной цели, там ничего не поможет

Это я считаю популярным мифом, заблуждением. Обоснованным конечно, но мифом. Потому что таких целей полно - политика, и всякие банки/компании, и даже звёзды экрана/сцены. Их ежеминутно пытаются сломать тысячи хакеров, но получается только с какой нибудь звиздулькой, у которой "фотки попы утекли в сеть", хотя они и до этого там были. Взлом остальных происходит скорей всего по чьей то "человеческой" вине, а не через хакерские дыры

На сайте c 31.03.2011
Сообщений: 9934
Renderfarm
alexfmos не совсем миф, людей сломать можно, а вот банки, электросети и военных - нет, там изолированные сети к которым нельзя получить доступ не находясь в датацентре физически
Читают эту тему: