Здравствуйте! Публикую здесь и везде дабы кому-то сэкономить нервы и время, если получится...) Комп подвергся взлому и зашифровке файлов. ниже я описал как это сделали , знаю, что сейчас многие отхватывают письма с шифровальщиками . причем работа по нанесению вреда действительно идет по всем фронтам... итак. На ПК настроен RDP. также , так как провайдер постоянно меняет ip-адрес, настроен сервис DDNS на сайте no-ip.com и вход на комп может осуществляться из сети по доменному имени ******.ddns.net в моем случае произошло два проникновения на ПК. первое 18.07.2015 г. в 01.07. злоумышленник вошел под учетной записью, которая используется для удаленного входа - user . видимо, пароль был подобран, т.к. был достаточно легким. далее следует повторный вход через примерно пол часа. дело сделано. зашифровали файлы. Так же в журнале есть сообщения о чтении данных через криптопровайдера. вот тут я не понял что и откуда читалось но возможно это попытка воровства ключей. флешки с сертификатами в компе не оставляем . согласно журналу безопасности Windows вход осуществлялся с ip-адреса 195.234.5.160. первый вход через порт 52533, потом 51107.(хотя. может я ощибаюсь про rdp, ведь его порт по умолчанию 3389, тут я не достаточно грамотен) Данный ip зареистрирован в пуле адресов провайдера 1gb.ua, Украина, г. Киев.........)) второе 28.07.2015 г. в 16.00... схема та же. ip входа - 195.234.5.133, порты те же. сначала 52533 потом 51107. ...Украина, Киев. То есть товарищи мониторят сервисы ddns. а зачем они еще нужны , как ни для того чтобы попадать удаленно на свой комп...?))) ну а дальше дело техники. Любопытно, это спланированная подрывная деятельность на территории РФ в связи с политической ситуацией или дело частных мошенников... понятное дело, что с площадки хостера мог работать кто угодно, но хостинг же купить надо. а это обезличенно сделать можно не всегда. Надеюсь, что эта информация будет полезной в части занесения этих адресов в список опасных.
В чем экономия нервов? Хакнули дырявый RDP, захотят хакнут снова. Тем более большая часть шифровальщиков лезут через блондинок, бухгалтеров, юристов и т.п. открывающих письма "СУДЕБНЫЕ ПРИСТАВЫ: МЫ ЗАБЕРЕМ ВАШУ ХАТУ!!!"
возможность использования DDNS включается на роутере, значит вы можете им управлять, можно было хотя бы ограничить диапазон IP с которых возможно подключение по RDP ну и во вторых - почему решили что из Киева? то что зафиксирован этот IP адрес не говорит абсолютно ничего, компьютер мог быть заражен и через него просто подключались, хозяин компьютера может даже не знать этого, а исполнитель может находиться где угодно. Размотать этот клубок теоретически можно, но сложно и дорого.
Ddns на роутере не настроен. Длинк както не смог победить с его жестко зашитыми вариантами сайтов предоставляющих DDns которые уже все платные...) по поводу ограничения входящих up спасибо за подсказку! Но не пойму пока чем Это в моем случае реализовать. ---------- Сообщение добавлено 30.07.2015 16:08 ---------- Потому и написал, что ранее эту заразу только из писем доводилось встречать. Причем достаточно хитрых, то есть не случайных резюме и судебных, а четко по прфил. Работы компании, чел даже не понял что там вирус, т к был случай от имени "Тандера" (магнит) присылали...
Д-линк для пользователей своего оборудования предоставляет бесплатный сервис - dlinkddns.com Бесплатно пользуюсь, хотя роутер у меня уже давным давно другого производителя, при регистрации использовал серийник и мак от старого роутера.
ну это же наверное в детском садике уже рассказывают, обновляйте систему (135 порт дыра ещё та, уязвимость в RPC DCOM) судя по всему соответствующего патча нет, почему его там нет не будем обсуждать. много вариантов, начните с сетевого экрана хотя бы, настройте его правильно ---------- Сообщение добавлено 30.07.2015 19:28 ---------- там к сожалению бесплатно только 1 адрес можно использовать, и привязку к MAC они по моему только в прошлом году сделали, поэтому кто хотел - пользовался. А в роутере вашем настройки есть какие-то насчет DDNS? если я правильно понял, роутер ломится на сервис и авторизуется, автоматом подставляется текущий IP, недостаточно просто на сайте DNS имя указать.
RubiN, mac там нужен только для валидации бесплатности учетки. Далее не нужен, ведь по идее роутер же позволяет подменять mac, а значит биндить учетку к одному маку нецелесообразно. Спасибо им за то, что понимают это. В роутере нетгир стандартная прошивка с авторизацией на dyndns - учетка от длинкдднс.ком там нормально авторизуется. Роутер периодически обновляет на серваке ip адрес, он же динамический. Но само собой для этого пров должен предоставлять белый адрес. У меня билайн - нормально работает уже года 3.