1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Вирус шифровальщик

Тема в разделе "Софт", создана пользователем johnjob, 29.07.15.

Статус темы:
Закрыта.
  1. johnjob

    johnjob Активный участник

    1.866
    1
    Здравствуйте! Публикую здесь и везде дабы кому-то сэкономить нервы и время, если получится...)
    Комп подвергся взлому и зашифровке файлов. ниже я описал как это сделали , знаю, что сейчас многие отхватывают письма с шифровальщиками . причем работа по нанесению вреда действительно идет по всем фронтам...

    итак.

    На ПК настроен RDP. также , так как провайдер постоянно меняет ip-адрес, настроен сервис DDNS на сайте no-ip.com и вход на комп может осуществляться из сети по доменному имени ******.ddns.net
    в моем случае произошло два проникновения на ПК.
    первое 18.07.2015 г. в 01.07. злоумышленник вошел под учетной записью, которая используется для удаленного входа - user . видимо, пароль был подобран, т.к. был достаточно легким. далее следует повторный вход через примерно пол часа. дело сделано. зашифровали файлы. Так же в журнале есть сообщения о чтении данных через криптопровайдера. вот тут я не понял что и откуда читалось но возможно это попытка воровства ключей. флешки с сертификатами в компе не оставляем . согласно журналу безопасности Windows вход осуществлялся с ip-адреса 195.234.5.160. первый вход через порт 52533, потом 51107.(хотя. может я ощибаюсь про rdp, ведь его порт по умолчанию 3389, тут я не достаточно грамотен) Данный ip зареистрирован в пуле адресов провайдера 1gb.ua, Украина, г. Киев.........))
    второе 28.07.2015 г. в 16.00... схема та же. ip входа - 195.234.5.133, порты те же. сначала 52533 потом 51107. ...Украина, Киев.
    То есть товарищи мониторят сервисы ddns. а зачем они еще нужны , как ни для того чтобы попадать удаленно на свой комп...?))) ну а дальше дело техники. Любопытно, это спланированная подрывная деятельность на территории РФ в связи с политической ситуацией или дело частных мошенников... понятное дело, что с площадки хостера мог работать кто угодно, но хостинг же купить надо. а это обезличенно сделать можно не всегда.
    Надеюсь, что эта информация будет полезной в части занесения этих адресов в список опасных.
     
  2. KEKS

    KEKS Активный участник

    4.102
    0
    А что мешает ему позвонить и спросить?
     
  3. DeSharky

    DeSharky Активный участник

    875
    0
    KEKS, Это владелец хостинга
     
  4. toks

    toks Активный участник

    2.146
    8
    В чем экономия нервов? Хакнули дырявый RDP, захотят хакнут снова. Тем более большая часть шифровальщиков лезут через блондинок, бухгалтеров, юристов и т.п. открывающих письма "СУДЕБНЫЕ ПРИСТАВЫ: МЫ ЗАБЕРЕМ ВАШУ ХАТУ!!!"
     
  5. RubiN

    RubiN Активный участник

    5.535
    34
    возможность использования DDNS включается на роутере, значит вы можете им управлять, можно было хотя бы ограничить диапазон IP с которых возможно подключение по RDP

    ну и во вторых - почему решили что из Киева? то что зафиксирован этот IP адрес не говорит абсолютно ничего, компьютер мог быть заражен и через него просто подключались, хозяин компьютера может даже не знать этого, а исполнитель может находиться где угодно. Размотать этот клубок теоретически можно, но сложно и дорого.
     
  6. johnjob

    johnjob Активный участник

    1.866
    1
    Ddns на роутере не настроен. Длинк както не смог победить с его жестко зашитыми вариантами сайтов предоставляющих DDns которые уже все платные...) по поводу ограничения входящих up спасибо за подсказку! Но не пойму пока чем Это в моем случае реализовать.

    ---------- Сообщение добавлено 30.07.2015 16:08 ----------

    Потому и написал, что ранее эту заразу только из писем доводилось встречать. Причем достаточно хитрых, то есть не случайных резюме и судебных, а четко по прфил. Работы компании, чел даже не понял что там вирус, т к был случай от имени "Тандера" (магнит) присылали...
     
  7. Arturvn

    Arturvn Активный участник

    6.276
    68
    Д-линк для пользователей своего оборудования предоставляет бесплатный сервис - dlinkddns.com
    Бесплатно пользуюсь, хотя роутер у меня уже давным давно другого производителя, при регистрации использовал серийник и мак от старого роутера.
     
  8. johnjob

    johnjob Активный участник

    1.866
    1
    Сорри, наврал. Не длинк, а sagemcom от Ростелекома у меня)
     
  9. RubiN

    RubiN Активный участник

    5.535
    34
    ну это же наверное в детском садике уже рассказывают, обновляйте систему (135 порт дыра ещё та, уязвимость в RPC DCOM) судя по всему соответствующего патча нет, почему его там нет не будем обсуждать.

    много вариантов, начните с сетевого экрана хотя бы, настройте его правильно

    ---------- Сообщение добавлено 30.07.2015 19:28 ----------

    там к сожалению бесплатно только 1 адрес можно использовать, и привязку к MAC они по моему только в прошлом году сделали, поэтому кто хотел - пользовался. А в роутере вашем настройки есть какие-то насчет DDNS? если я правильно понял, роутер ломится на сервис и авторизуется, автоматом подставляется текущий IP, недостаточно просто на сайте DNS имя указать.
     
  10. Arturvn

    Arturvn Активный участник

    6.276
    68
    RubiN, mac там нужен только для валидации бесплатности учетки. Далее не нужен, ведь по идее роутер же позволяет подменять mac, а значит биндить учетку к одному маку нецелесообразно. Спасибо им за то, что понимают это.
    В роутере нетгир стандартная прошивка с авторизацией на dyndns - учетка от длинкдднс.ком там нормально авторизуется. Роутер периодически обновляет на серваке ip адрес, он же динамический. Но само собой для этого пров должен предоставлять белый адрес. У меня билайн - нормально работает уже года 3.
     
  11. RubiN

    RubiN Активный участник

    5.535
    34
    ясно, просто я считал что всё же идет некая проверка MAC с какой-то их БД, типа их роутер или чужой
     
Статус темы:
Закрыта.