Virus Research: Fake Project Manager Locker

Автор
Сообщение
Возраст: 34
Пол: М
На сайте c: 15.09.2013
Сообщения: 674
Откуда: Качайте Model Packer
Цитата xpp_nd_ruphus:
VictoriaCh2303 я просто с этим столкнулся лично и потом после взлома неделю восстанавливал работоспособность серверов удаленно, благо там ничего ценного не было, только софт

Расскажите все подробности. Понимаю к теме не относится, но очень интересно)

Возраст: 35
Пол: М
На сайте c: 31.03.2011
Сообщения: 8680
Откуда: Мск - Сеул

там были типичные порты у серверов проброшены в роутере и статичный айпи, и стоял примитивный пароль, поскольку не предполагал, что возможны какие то проблемы и так все работало много лет, и внезапно 2 месяца назад взлом и запуск вируса шифровальщика, благо вовремя смог проблему купировать до полного отказа системы и не пришлось вызывать человека, физически доступа к машинам то у меня нет, они в РФ, а я в Корее, после того, как поставил IPBan выяснил, что атаки происходят постоянно и рандомно, сильный пароль все исправил

ручная чистка реестра - это тот еще гемор

Возраст:
Пол: Ж
На сайте c: 03.07.2018
Сообщения: 151
Откуда: Kyiv
Цитата xpp_nd_ruphus:
VictoriaCh2303 я просто с этим столкнулся лично и потом после взлома неделю восстанавливал работоспособность серверов удаленно, благо там ничего ценного не было, только софт

Ну фига се...smiley-shok.gif

Возраст: 34
Пол: М
На сайте c: 15.09.2013
Сообщения: 674
Откуда: Качайте Model Packer
Цитата xpp_nd_ruphus:
там были типичные порты у серверов проброшены в роутере и статичный айпи, и стоял примитивный пароль, поскольку не предполагал, что возможны какие то проблемы и так все работало много лет, и внезапно 2 месяца назад взлом и запуск вируса шифровальщика, благо вовремя смогу проблему купировать до полного отказа системы и не пришлось вызывать человека, физически доступа к машинам то у меня нет, они в РФ, а я в Корее, после того, как поставил IPBan выяснил, что атаки происходят постоянно и рандомно, сильный пароль все исправил

Походу сбрутили пароль. Ок, а как решались проблемы с последствиями и были еще какие либо доп. меры? Есть еще какие либо подробности. Например какой антивирус помог или какой ряд действий нужно производить в такой ситуации?

Возраст: 35
Пол: М
На сайте c: 31.03.2011
Сообщения: 8680
Откуда: Мск - Сеул

MastaMan я руками убивал все процессы а потом каспером все чистил  и из реестра чистил скрипты запуска, там было несколько, без чистки реестра переустановка софта была невозможна без сноса винды, а для меня снос винды был таким себе вариантом

из мер безопасности, мега сложный пароль, который меняю каждые 2 недели + проброс портов по сервакам на неочевидные и отказ от сохранения паролей (это в теории тоже сканится) + IPBan, который делает невозможным брут, после нескольких попыток бан айпи на сутки

там просто помимо шифровальщика были запущены софты для виртуальных машин, которые анитивирусы никак не видят, поскольку это вполне стандартные софты легальные, но я четко знаю, что и где у меня установлено, поэтому все левые софты выловил и отключил процессы и их авторан и выпилил из реестра

ПС там еще был прикол с запуском скрипта который каждый час запускал дефрагментацию, чего хотел добиться горевзломщик этим - непонятно, с учетом что у меня нет ссд

ППС самое смешное, что за каждую машину хотели выкуп за расшифровку данных эквивалентно 1500 баксов, заразили 6 машин, важных данных там не было, только софт и временные файлы)

Возраст: 39
Пол: М
На сайте c: 27.03.2015
Сообщения: 247
Откуда: Вологда
Цитата xpp_nd_ruphus:
ПС там еще был прикол с запуском скрипта который каждый час запускал дефрагментацию, чего хотел добиться горевзломщик этим - непонятно, с учетом что у меня нет ссд

может хотел увеличить количество записанных секторов, чтобы меньше удаленных оригинальных файлов можно было бы восстановить после.

у меня на NAS пробрались, тоже зашифровали все файлы. просили примерно столько же. но 80% было в бэкапе, решил что 20% инфы того не стоят.

Возраст: 39
Пол: М
На сайте c: 19.02.2011
Сообщения: 2782
Откуда: Москва
Цитата xpp_nd_ruphus:
там были типичные порты у серверов проброшены в роутере и статичный айпи, и стоял примитивный пароль, поскольку не предполагал, что возможны какие то проблемы и так все работало много лет

У меня как то давно на одном "белом" IP был через роутер проброшен стандартный порт RDP. Пароль правда был сложный. Так вот в винде есть журнал событий, по какой то причине я в него залез, и у видел десятки тысяч событий за пару дней, события типа "попытка входа с учетной записью Администратор, Admin, 1c, server" и т.п. популярные логины. Я сначала пытался бороться, банил, ставил другие порты на RDP, помогало, но не надолго, видимо машинам по всему миру по фиг сколько портов перебирать. В итоге я выключил в роутере проброс RDP порта, но поднял собственный сервер VPN на этой машине. Т.е. чтоб подключиться по RDP достаточно войти в эту сеть VPN, что значительно сложнее для хакеров/ботов, насколько я понимаю, там всякие ключи, шифрование трафика, защиты и т.п. Плюс намного удобнее, когда ты "в одной локалке" с машиной, но только по интернету. 

Возраст: 35
Пол: М
На сайте c: 31.03.2011
Сообщения: 8680
Откуда: Мск - Сеул
alexfmos ну VPN это оверкилл вариант по безопасности, но достаточно сложного пароля и софта, который банит при переборе паролей айпишники, если нет конкретной цели взломать именно вас, то этого будет достаточно, а вот если взлом конкретной цели, там ничего не поможет, но чтоб стать такой целью это надо прям конкретно постараться
Возраст: 39
Пол: М
На сайте c: 27.03.2015
Сообщения: 247
Откуда: Вологда

xpp_nd_ruphus, конкретно у меня брутила крупная подсеть, там очень много айпишников было. Когда логи смотрел - в течение несколько часов не было повторяющихся.

Для себя я сделал вывод - что без бекапа на данный момент жить нельзя. 

Вспоминаю забавную ситуацию. Лет 10-15 назад была. Я тогда установил стороннюю программу для рдп, но что-то меня отвлекло и пароль задать к ней забыл smiley-shok.gif  Через несколько дней валяюсь на кровати, книжку читаю и вижу, вдруг, краем глаза что курсор на компе бегает - я вскочил и бегом к роутеру - выключать его. А супостат тем временем пытался в хроме в сохраненные пароли заползти как можно быстрее. Но в том соревновании он всё таки проиграл, мои ноги оказались быстрее.  

Возраст: 35
Пол: М
На сайте c: 31.03.2011
Сообщения: 8680
Откуда: Мск - Сеул
ksonto я тут ради интереса проверял брутилками свои пароли новые, даже со словарями их подбирать порядка миллиона лет, а у меня каждые 2 недели новые
Возраст: 39
Пол: М
На сайте c: 27.03.2015
Сообщения: 247
Откуда: Вологда
xpp_nd_ruphus, в моем конкретном случае пароль тоже был сложный. но воспользовались уязвимостью в пакете. моей ошибкой было, что отключены обновления операционки NAS. Выводы сделал, теперь двухфакторная идентификация, бекапы в два независимых места, у одного из них нет выхода в инет, ну и обновы теперь включены ) и доступ к веб морде через впн
Возраст: 39
Пол: М
На сайте c: 19.02.2011
Сообщения: 2782
Откуда: Москва
Цитата xpp_nd_ruphus:
а вот если взлом конкретной цели, там ничего не поможет

Это я считаю популярным мифом, заблуждением. Обоснованным конечно, но мифом. Потому что таких целей полно - политика, и всякие банки/компании, и даже звёзды экрана/сцены. Их ежеминутно пытаются сломать тысячи хакеров, но получается только с какой нибудь звиздулькой, у которой "фотки попы утекли в сеть", хотя они и до этого там были. Взлом остальных происходит скорей всего по чьей то "человеческой" вине, а не через хакерские дыры

Возраст: 35
Пол: М
На сайте c: 31.03.2011
Сообщения: 8680
Откуда: Мск - Сеул
alexfmos не совсем миф, людей сломать можно, а вот банки, электросети и военных - нет, там изолированные сети к которым нельзя получить доступ не находясь в датацентре физически
Читают эту тему: