Вымогатели зашифровали диск

[IL]

И ещё показалось любопытным, что они публикуют имейлы. Когда меня взломали в прошлый раз, то прислали с моего собственного имейла и попросили ответить на него же.

это как пароль от почты сперли что ли. на hotmail мыло уже заблокировано

Да, как-то спёрли. Пароль довольно сложный был. Я платить отказался -- никаких секретов особых там не было. Переустановил, обновил пароли, восстановил данные, что смог, не всё, конечно.

К трояну потом написали таки антивирус или нет? Известный он оказался или неизвестный?

Я не разбирался. Всё переустановил заново. Скорее всего пароль сдал администратор как-то через social engineering.

[OtherSide]

Просто стоит ли ожидать антивирус через пару месяцев

[katit]

Не стоит

[OtherSide]

Блин а как это происходит не пойму. Ну вряд ли уж лично на меня охотились. Сайт у меня совсем левый. А если вирус, почему не найдут

[katit]

Охотятся на всех подряд «дырявых»
Расшифровка может будет через пару лет а может и нет

[katit]

Кстати!!! Они вроде большие файлы только переименовывают

[OtherSide]

Нет я уже проверил. Файл точно запорот, начало зашифровано, конец нет. Восстановители данных пишут что это вообще не БД (ничего не находят к восстановлению)

[Vladimir Kr.]

ломают систему и приложения, не важно про количество портов.
что было запущено на 80?

ну и RDP/80 ставят за фаерволом с доступом только с определенных адресов.

[OtherSide]

сайт был на 80 что еще
и что значит ломают. в том и вопрос не понятно как ломают

[OtherSide]

Диск отсоеденил и просканировал - ничего не смог найти и в удаленных файлах тоже. Даже логи потрели, гады

[IL]

сайт был на 80 что еще
и что значит ломают. в том и вопрос не понятно как ломают

Ломают все по-разному. Они явно имели административный доступ через RDP.

[OtherSide]

Как блин по разному? Никому и никогда не сообщал я это пароль. 8 буквоцифр

[IL]

Мне наш администратор говорил то же самое...

[Searcher]

Ни один трезвомысляший системный администратор не откроет RDP в интернет.

https://www.imperosoftware.com/us/blog/ ... o-be-safe/

google "hacking through rdp" и читайте

[OtherSide]

Думаете врал вам что ли. Ну единственно что к фейсбуку использовал да и то не тот же, а похожий отличался на 1 цифру
Но сервер этот даже не у меня стоял, попросил друга себе в чулан поставить (у него тоже пароля не был ясен хрен)

[OtherSide]

Ни один трезвомысляший системный администратор не откроет RDP в интернет.

https://www.imperosoftware.com/us/blog/ ... o-be-safe/

google "hacking through rdp" и читайте

Так а что конкретны за дыры я не понял. Все таки дырявый протокол или социальная инженерия?

[Searcher]

Так а что конкретны за дыры я не понял. Все таки дырявый протокол или социальная инженерия?

Ответ на ваш вопрос в машине которую взломали. Надо смотреть логи и разбираться. Но я ни удивлюсь если пароль тупо подобрали брут-форсом - 8 characters alpha-numeric is pretty weak.

https://www.darkreading.com/attacks-bre ... %20Systems.

[OtherSide]

Так а что конкретны за дыры я не понял. Все таки дырявый протокол или социальная инженерия?

Ответ на ваш вопрос в машине которую взломали. Надо смотреть логи и разбираться. Но я ни удивлюсь если пароль тупо подобрали брут-форсом - 8 characters alpha-numeric is pretty weak.

2 821 109 907 456 комбинаций

[Searcher]

2 821 109 907 456 комбинаций

Я там ссылку добавил для вас.

[katit]

В моем случае быыл RDP, больше нечему. И то что я нарыл в интернете на это указывает. Как? А вот это уже секрет, иначе заткнули бы давно. Пока известно только то что RDP светить в мир точьно нельзя.

[IL]

Я теперь верю в двухфакторную аутентикацию на полностью независимый, отдельный имейл. Я просто не вижу как это можно взломать вообще. Ну разве что угадать одну комбинацию из миллиона.

[OtherSide]

В моем случае быыл RDP, больше нечему. И то что я нарыл в интернете на это указывает. Как? А вот это уже секрет, иначе заткнули бы давно. Пока известно только то что RDP светить в мир точьно нельзя.

Если оно в интернете значит общеизвестно. или я что то не понял

[Vladimir Kr.]

Это не вирус, это имхо, дырявый RDP и/или HTTP(S) протокол/сервис. То что нет багов, не значит, что кто-то не взломал (RDP сервис), и не продал взлом в даркнете. Не конкретно ваш комп, а эту версию RDP.

вы так и не сказали какая система, винда? насколько дырявая версия.
вы так и не сказали что на 80 порту, какой веб сервис? тоже дырявый?

пароль? серьезно? даже не токен? типа yubi key.
кстати - 2х факторка на СМС/емаил, так себе защита.

ну как минимум фаервол и вход только с одного IP, я уже говорил:
в любом клауде берете виртуальную машину с настройкой фаервола на SSH только со своего IP, и тунель на свой RDP/80.
на RDP & 80 разрешаете только с клаудной виртуалки.
делаете вход на клауд - тоже по токену.
web server, желательно - с доступом только в свою директорию под chroot.

[OtherSide]

Это не вирус, это имхо, дырявый RDP и/или HTTP(S) протокол/сервис. То что нет багов, не значит, что кто-то не взломал (RDP сервис), и не продал взлом в даркнете. Не конкретно ваш комп, а эту версию RDP.

вы так и не сказали какая система, винда? насколько дырявая версия.
вы так и не сказали что на 80 порту, какой веб сервис? тоже дырявый?

пароль? серьезно? даже не токен? типа yubi key.
кстати - 2х факторка на СМС/емаил, так себе защита.

ну как минимум фаервол и вход только с одного IP, я уже говорил:
в любом клауде берете виртуальную машину с настройкой фаервола на SSH только со своего IP, и тунель на свой RDP/80.
на RDP & 80 разрешаете только с клаудной виртуалки.
делаете вход на клауд - тоже по токену.
web server, желательно - с доступом только в свою директорию под chroot.

Windows 2022 standart свежая только 2 недели назад ставил. Активаторов не ставил, активировал через командную строку
На сервере крутился мой сервис, на счет дырявый я не понял что это значит. Ну json запросы отдает.. Не знаю как через них пробится

[katit]

В моем случае быыл RDP, больше нечему. И то что я нарыл в интернете на это указывает. Как? А вот это уже секрет, иначе заткнули бы давно. Пока известно только то что RDP светить в мир точьно нельзя.

Если оно в интернете значит общеизвестно. или я что то не понял

Известен вектор атаки. Один из. Но как именно не известно.