Вы работаете дома? Тогда мы идем к вам
payshanba, 2-iyul, 2020
В нашу техподдержку могут обращаться пользователи других антивирусов (при этом, например, услуги расшифровки от энкодеров для них платные). Интересно, что они могут даже не указать, что не пользуются нашим антивирусом. Выглядеть это будет примерно так:
Заражение компьютера произошло около недели назад, компьютер всегда включен, я его обычно не выключаю, после обычного сеанса работы, пошел спасть, компьютер оставался включенным, только на следующий день обнаружил, что он выключен, при включении я обнаружил что заставка на компьютере пропала, на заставке компьютера письмо вымогателя (файл в приложении), все ярлыки файлов на рабочем столе тоже без отображения иконок и никакая программа не открывается. …Пожалуйста, помогите с расшифровкой файлов.
Естественно, мы просим прислать дополнительную информацию – для этого мы предоставляем пользователю специальную утилиту (так быстрее, чем выяснять, какую версию нашего антивируса тот использует).
В первую очередь пострадавший компьютер должен быть отключен от сети.
Если компьютер выключен, то прежде чем его включать следует сделать резервную копию данных с него.
Для анализа причин шифрования требуется дополнительная информация непосредственно с ПК, где был запущен шифровальщик.
- Скачайте, пожалуйста, утилиту dwsysinfo.exe (…/dwsysinfo.exe), сформируйте с помощью нее отчет на пострадавшем ПК и приложите его к своему следующему сообщению.
через Win+R выполните:
cmd /c dir c:\ /a/s > "%userprofile%\dirc.log"
- вывод команды будет сохранен в "%userprofile%\dirc.log", Пришлите, пожалуйста, этот файл (листинг системного раздела).
И тут выясняется:
Обращаю Ваше внимание, что система защищена AVAST, а не Dr.Web.
Но это лирика. Как же произошло заражение?
Один из способов распространения этого энкодера - несанкционированный вход, через подбор пароля одной из учетных записей, по RDP (или через терминальную сессию).
Опять слабые пароли при наличии возможности удаленного входа (напомним, что в ОС Windows он доступен по умолчанию).
А теперь о важном. Переход на удаленную работу привел к тому, что для «домашних» сотрудников открывается удаленный доступ к ресурсам компании. А системные администраторы удаленно настраивают компьютеры. Это рутинный процесс, но в период срочного перехода на удаленную работу число удаленных компьютеров многократно возросло. И началось: статистика свидетельствует о мощном росте количества атак с подбором паролей (брутфорс) по протоколу RDP. Причем это не целевые атаки, а перебор всех доступных адресов – то есть «на удачу».
Если говорить только о серверах, за которыми, по идее, следят специалисты, картина такая:
Только за первую неделю удаленного режима работы число доступных серверов в России увеличилось на 15%, достигнув 75 тыс., а в целом по миру рост составил более 20%.
А вот обычные компьютеры:
Число компьютеров на Windows в России, уязвимых для попыток доступа по протоколу удаленного рабочего стола (RDP), выросло на 230%.
С ростом количества целей (тех самых RDP) выросло число атак. Так, для подбора паролей к RDP число попыток возросло с 3–5 раз до 9–12. Сами атаки стали продолжаться дольше – от двух до трех часов.
Антивирусная правДА! рекомендует
Для защиты от атак на RDP:
- Если вам не нужен удаленный доступ – отключите его, закрыв соответствующий порт (3389).
- Задайте сложный пароль (не менее 8 символов, содержащий буквы разного регистра, цифры и спецсимволы).
- Заблокируйте неиспользуемые учетные записи и установите ограничение на удаленное подключение, оставив возможность подключения только с определенных адресов.
- Убедитесь, что установлены все обновления операционной системы.
Если вы работаете с корпоративными ресурсами:
- Сделайте RDP доступным только через корпоративный VPN.
- Используйте аутентификацию на уровне сети (Network Level Authentication, NLA) и двухфакторную аутентификацию.
Скачайте этот краткий документ и неукоснительно следуйте прописанным в нем правилам.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
GREEN
17:12:12 2020-09-29
Всё просто!
Но это только в том случае, если удалённый доступ НЕ нужен. А если нужен?
Тогда рекомендации вам в помощь!
Sasha50
16:47:50 2020-07-11
Вячeслaв
11:20:50 2020-07-06
tigra
16:58:58 2020-07-03
kokuxo
01:59:28 2020-07-03
Альфа
23:48:58 2020-07-02
Любитель пляжного футбола
22:06:07 2020-07-02
Шалтай Александр Болтай
22:00:08 2020-07-02
Toma
21:53:09 2020-07-02
orw_mikle
21:10:34 2020-07-02
Zserg
21:06:18 2020-07-02
Геральт
20:56:51 2020-07-02
anatol
20:44:38 2020-07-02
runikot
19:50:50 2020-07-02
Dvakota
19:48:24 2020-07-02
runikot
19:28:40 2020-07-02
Masha
17:33:00 2020-07-02
EvgenyZ
14:43:43 2020-07-02
vkor
13:26:31 2020-07-02
eaglebuk
13:16:47 2020-07-02
Okcana
13:05:24 2020-07-02
vinnetou
13:00:05 2020-07-02
Dmur
12:38:29 2020-07-02
ЛехаК.
12:11:33 2020-07-02
Денисенко Павел Андреевич
12:07:13 2020-07-02
gebrakk
10:54:22 2020-07-02
DrKV
10:48:37 2020-07-02
Sergey
10:22:03 2020-07-02
Неуёмный Обыватель
10:21:41 2020-07-02
Татьяна
10:18:51 2020-07-02
Вячeслaв
10:15:27 2020-07-02
Неуёмный Обыватель
10:11:46 2020-07-02
Вячeслaв
10:04:09 2020-07-02
Вячeслaв
10:02:51 2020-07-02
TV
09:47:38 2020-07-02
Mara
09:25:03 2020-07-02
Александр
09:16:41 2020-07-02
Неуёмный Обыватель
08:14:22 2020-07-02
Неуёмный Обыватель
08:13:06 2020-07-02
Как же так? Разве в домашних версиях не отсутствует вообще этот компонент? Если он действительно включен, научите, как воспользоваться, а то мучаюсь через сторонние приложения удаленного доступа.
ka_s
08:09:39 2020-07-02
Vlad X
08:02:27 2020-07-02
Slava90
07:51:32 2020-07-02
Сохраню в библиотеку.
Пaвeл
07:28:22 2020-07-02
Информация полезная, сохраню.
Любитель пляжного футбола
06:54:34 2020-07-02
Как понимаю, с определённых IP-адресов. Только проблемка в том, что у многих нет постоянного IP-адреса...
Интересно, если я уже отключил службу удалённого доступа (в списке служб), то нужно ли дополнительно отключать порт 3389? Нет, наверное.
Alexander
05:09:47 2020-07-02
Спасибо за советы. Они особенно актуальны в свете вероятного сохранения "удалёнки" на долговременной стандартной основе. Стоит озаботиться обустройством более надёжной защиты.
А "Доктор Веб" - на высоте! Так держать!
achemolganskiy
05:04:41 2020-07-02
Morpheus
04:44:19 2020-07-02
L1t1um
04:36:14 2020-07-02