Как избежать шифровальщика на терминальник, вот зашифровали RDP сервер

Прислала из филиала девачка (Помощник СисАдмина) Лена:
*****

- В первом представлении, 03-31 мая, на Сервере терминалов — ******, произошло следующее:
Мы стали жертвой кибер атаки Злобных шифровальщиков. В выходные зашифрованы все файлы и архивы на самом сервере терминалов бухгалтерии.

В моём представлении, происходит это следующим образом, 
Злоумышленник находит в сети устройство(роутер, хаб или другое) с удалённым управлением(такие устройства 99,9 стоят везде) и самое главное на нем стандартный пароль.
 Злоумышленник , добавляет в прошивку этого устройства модуль управления им. Превращая таким образом это устройство в часть Бот-Нет сети.
С помощью этой управляемой бут-нет сети, злоумышленник сканирует следующие айпи адреса. Находятся открытые порты. (У нас RDP был не на стандартном порту)
Затем, по открытым портам ведётся перебор  возможных протоколов.
Когда протокол выяснен, ведётся брутфорс (подбор паролей и логинов), начиная с Admin, Админ, Администратор, Administrator
После подбора пароля - логина, на этом компьютере запускается скрипт, шифрующий ВСЕ файлы на этом и доступным по сети компьютерах. В новых именах файлов, присутствует электронный их адрес, с которого они и требуют 20 000р за дешифратор.

В связи с тем что теперь вирус шифрует все файлы, а не только по маске расширений, все бэкапы, с расширением *.000 и вообще без расширений были зашифрованы и приведены в негодность этим шифровальщиком.
-----------------------

В связи с вышеперечисленным предлагаю:
1. Заменить IP адрес.
2. Выключать на ночь не только рабочие машины, но и роутер.
(Купить для этого специальные розетки с таймером включения и выключения)
3. Поменять во всей организации пароли на более серьёзные.
4. Запретить использование логинов Admin, Админ, Администратор, Administrator
5. Переустановить операционную систему на испорченном сервере терминалов.
6. использовать не RDP окно, а Hyper-V когда 1С открывается в своём окошке.
7. Производить бекапы на FTP сервер яндекса.

С Уважением Елена Николаевна

*****

не убавить, не прибавить?

СПЕЦИАЛЬНО высунуть еба web-морду в сеть и не сменить заводской пароль - шедеврально. ССЗБ.

Вот такие так называемые "админы", которые оставляют стандартный пароль, и хватают вирусню.

Ога, а потом:

Вы не жертвы, вы сказочные долбоебы и вам срочно нужно менять профессию.

Поржал ))).

Это сообщение отредактировал Selkup - 2.06.2015 - 15:23

лена молодец! про розетку это тема! пойду на сервер терминалов розетку с таймером захуйячу

Да-да. Ага. А на самом деле какая-нибудь бухгалтерша открыла в аутлуке письмецо с вложением, имея непонятно за каким хреном права записи во всю шару )

Зато как классно отбрехалась, это не она это системный администратор не выключил на ночь маршрутизатор и его хакнули

Кстати еще можно было добавить что это из за санкций и Американская киберармия таким образом подрывает экономику России.

Это сообщение отредактировал KerberosDY - 2.06.2015 - 15:43

Мда......ССЗБ.
Девочке надобно сменить профессию.....как и админу блин.

Пункт 6... ну, не убил, но порадовал )

А чо, так можно было? Без VPN и файрвола разрешить подключение снаружи к роутеру? телнетом еще, наверное


Это сообщение отредактировал AlexDLM - 2.06.2015 - 15:46

разве брутфорс еще актуален?

это реклама яндекса?

Не тем Елена Николаевна занимается, ой не тем...)

Это шедевральный долбоебизм, выше уже сказали, мне добавить нечего.

Весьма нетривиальная задача. Особенно, если учесть, что заражение было массовым в разных конторах по всей стране - а это тысячи разномастных устройств, и универсального эксплойта здесь быть не может, как и универсального модуля.

Давайте определимся, если злоумышленнику нужен ботнет - нахрена ему палиться, шифруя файлы? Если злоумышленнику нужно шифрование файлов и последующий "выкуп" - нахрена ему ботнет? И нахрену ему вообще ботнет из роутеров, из РОУТЕРОВ, КАРЛ, блять!!!

Эта фраза выдает ламера. "Ботнет сеть" - это как "водяная вода".

Это вообще без комментариев.

Это сообщение отредактировал MrME - 2.06.2015 - 16:19

Штобля?? Нахуя? Следующие куда?

А нахрена для этого все предыдущие телодвижения?

Правда штоле? И сколько времени это заняло бы, шифрование абсолютно всего харда более-менее пристойным алгоритмом? Или у вас терминальные клиенты с процами Core i7 и дохренагигами ОЗУ? Или подождите, вы же вроде на ночь выключаете компы? А когда шифровались файлы? Мистика, не иначе.

Сдается мне, бекапов вообще не было.

Ну это очередной пиздец. Особенно выключение роутера на ночь, вместо нормальной настройки оного.

Гнать таких дебилов ссаными тряпками без выходного пособия. Предварительно повесив на них все убытки, причинённые вирусом.

Это сообщение отредактировал MrME - 2.06.2015 - 16:31

Да фейк это, такое только специально можно придумать.

1) Каким образом. Да и смысл?
2) Ну тут ваще ппц
3) Изначально есть
4) При некоторых телодвижения в AD и екчендж требует именно эти учетки. Именно их.
5) Ну дык понятно. Это когда певые 4 пункта не помогли? :)
6) А у кого нема Гипер-В, тогда шо делать? Вообще смутно себе представляю как это выглядит...
7) Далеко не у всех быстрые каналы и надо быть долбоебом внутреннюю бухгалтерию лить на внешние общедоступные сервера


Кого на работу взяли то?

Это сообщение отредактировал bender376 - 2.06.2015 - 16:23

Поржал, спасибо :)

Грамотно настроенный iptables шлюз,говорят помогает.И работа под админом-моветон.

Это сообщение отредактировал kototkot - 2.06.2015 - 16:27

Елена Николаевна открыла файлик пришедший на почту, и сломала всю сетку, админа уволить...

Елена Николаевна пытается втереть какую то дичь! На терминальном серваке такую хуйню можно получить одним способом при взаимодействии через расшареные сетевые диски. Ну или запустив что то прямо с рдп сессии. Другой возможности взаимодействия клиентский комп->терминальная сессия нет, в обратную сторону есть, те если на терминале работает зловред, то он может начать хуярить диски клиентского компа если они замаплены через рдп, но не наоборот

Это сообщение отредактировал nod430 - 2.06.2015 - 16:31

MrME, во тебя цепануло Да никому в голову не придёт специально искать открытый сервак и загонять туда вирьё, это пздц сколько времени нужно.
Все эти вымогатели - это конвеер, так сказать не на качество работают, а на количество.
Вот пример из жизни: тётка ищет расписание какое-то, вбивает в поисковик и понеслась "скачаю архив raspisanie-kakoe-to.docx.rar.exe по первой ссылке с sssjjjf24ovkif.net". Поставить программу, чтобы показать документ? - конечно, хоть 10! браузер кричит, что небезопасный файл? антивирь 20 предупреждений выдал? - да пох, это единственный и нужный мне файл.

Уууу... Как все запущено!

Ув. Елена Николаевна!

1. Для предприятий, даже еще вчера бывшими холдингом из трех ларьков и двух бабок с семечками, уже давно придумали сложные пароли, состоящии, как минимум, из десятка символов разного регистра, символов псевдографики и цифр. Для роутеров, при помощи которых подобное предприятие выходит в инет, вообще не должно быть внешнего управления.
2. Любой современный роутер, который чуть сложнее табуретки и по стоимости сопоставим с сильно Б/У системным блоком, умеет VPN с шифрованием IPSec, L2TP или PPTP. Подобные системы шифрования позволяют не светить, как голую жопу из кустов, протокол RDP, пусть даже и перенаправленный на какой-либо иной порт протокола TCP/IP.
3. Чуть более дорогие роутеры, в состоянии вести протоколирование достаточной сложности, чтобы отследить любые движения всех пользователей, спрятанных в сети за данным роутером. И, не только вести протоколирование, но и блокировать скачивание файлов с указанных сайтов или по указанной маске. При этом п.2 такими устройствами поддерживается априори.
4. Роутеры, стоимостью в неплохой системный блок, в состоянии блокировать любую попытку незаконного входа на указанное время с адреса, с которого было что-то подобное. Разумеется, что все попытки будут запротоколированы и могут быть легко установлены для ответной атаки и/или привлечения к расследованию отдела безопасности в виде дедка с берданкой. п.2 и п.3 - само-собой.
5. В случае отсутствия любого компонента из вышеперечисленного, предлагаю сменить место работы. Если все вышеизложенное в наличии, то Вам нужно немедленно поменять профиль работы и специализацию. И никогда более не возвращаться к системному администрированию.

Простите, забыл!!

6. Для ежедневного бэкапа желательно купить NAS-сервер, на который по FTP, как и на внешку, можно сливать что угодно. При этом физически это будет твой сервер, а не ХЗ чей левый, а-ля яндекс-ХЗ-Ч-Е.

И, последнее, на закуску:

7. Этот самый NAS-сервер очень может стать, помимо всего прочего, еще и собственной мини-АТС. Но, судя по предложению "выключать роутер при помощи программируемых розеток", я перегнул палку. Прошу прощения.

Добавлено в 17:06

VPN спасет не только отца русской демократии... Нах светить в инете открытый порт?!

Это сообщение отредактировал Hanglider - 2.06.2015 - 17:33

А как быть бедному вирусу с динамическим ip? Или микротик если у умных людей нормально настроен? Да никак.

Ччшш!!! Слова-то ты какие говоришь!!! И как язык повернулся?! Какой "микротик"?! Ты ваще о чем?! Локальный админ для пользователя - РУЛИТ!

Это сообщение отредактировал Hanglider - 2.06.2015 - 18:38

Я не силен в этом , роутер микротик, в него серый ip, vpn. Дальше сервак на винде, дальше пользователи под ограниченной учеткой. Вроде все работает.
Я сейчас даже настройки не помню толком, все на бэкапах.

Это сообщение отредактировал efgennn - 2.06.2015 - 18:22