Вымогатели зашифровали диск

User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

OtherSide wrote: 13 Jan 2023 14:19
IL wrote: 12 Jan 2023 16:57
OtherSide wrote: 12 Jan 2023 16:45
IL wrote: 12 Jan 2023 16:02 И ещё показалось любопытным, что они публикуют имейлы. Когда меня взломали в прошлый раз, то прислали с моего собственного имейла и попросили ответить на него же.
это как пароль от почты сперли что ли. на hotmail мыло уже заблокировано
Да, как-то спёрли. Пароль довольно сложный был. Я платить отказался -- никаких секретов особых там не было. Переустановил, обновил пароли, восстановил данные, что смог, не всё, конечно.
К трояну потом написали таки антивирус или нет? Известный он оказался или неизвестный?
Я не разбирался. Всё переустановил заново. Скорее всего пароль сдал администратор как-то через social engineering.
IL
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Просто стоит ли ожидать антивирус через пару месяцев
User avatar
katit
Уже с Приветом
Posts: 23960
Joined: 05 Jul 2003 22:34
Location: Брест -> St. Louis, MO

Re: Вымогатели зашифровали диск

Post by katit »

Не стоит
Лучше водки — хуже нет! ©
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Блин а как это происходит не пойму. Ну вряд ли уж лично на меня охотились. Сайт у меня совсем левый. А если вирус, почему не найдут
User avatar
katit
Уже с Приветом
Posts: 23960
Joined: 05 Jul 2003 22:34
Location: Брест -> St. Louis, MO

Re: Вымогатели зашифровали диск

Post by katit »

Охотятся на всех подряд «дырявых»
Расшифровка может будет через пару лет а может и нет
Лучше водки — хуже нет! ©
User avatar
katit
Уже с Приветом
Posts: 23960
Joined: 05 Jul 2003 22:34
Location: Брест -> St. Louis, MO

Re: Вымогатели зашифровали диск

Post by katit »

Кстати!!! Они вроде большие файлы только переименовывают
Лучше водки — хуже нет! ©
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Нет я уже проверил. Файл точно запорот, начало зашифровано, конец нет. Восстановители данных пишут что это вообще не БД (ничего не находят к восстановлению)
User avatar
Vladimir Kr.
Уже с Приветом
Posts: 571
Joined: 24 Mar 2004 07:31
Location: Krasnoyrsk -> -> Chicago

Re: Вымогатели зашифровали диск

Post by Vladimir Kr. »

ломают систему и приложения, не важно про количество портов.
что было запущено на 80?

ну и RDP/80 ставят за фаерволом с доступом только с определенных адресов.
моя родина СССР!
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

сайт был на 80 что еще
и что значит ломают. в том и вопрос не понятно как ломают
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Диск отсоеденил и просканировал - ничего не смог найти и в удаленных файлах тоже. Даже логи потрели, гады
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

OtherSide wrote: 13 Jan 2023 16:11 сайт был на 80 что еще
и что значит ломают. в том и вопрос не понятно как ломают
Ломают все по-разному. Они явно имели административный доступ через RDP.
IL
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Как блин по разному? Никому и никогда не сообщал я это пароль. 8 буквоцифр
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

Мне наш администратор говорил то же самое...
IL
Searcher
Уже с Приветом
Posts: 2708
Joined: 09 May 2002 17:39
Location: MA, USA

Re: Вымогатели зашифровали диск

Post by Searcher »

Ни один трезвомысляший системный администратор не откроет RDP в интернет.

https://www.imperosoftware.com/us/blog/ ... o-be-safe/

google "hacking through rdp" и читайте
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Думаете врал вам что ли. Ну единственно что к фейсбуку использовал да и то не тот же, а похожий отличался на 1 цифру
Но сервер этот даже не у меня стоял, попросил друга себе в чулан поставить (у него тоже пароля не был ясен хрен)
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Searcher wrote: 13 Jan 2023 16:55 Ни один трезвомысляший системный администратор не откроет RDP в интернет.

https://www.imperosoftware.com/us/blog/ ... o-be-safe/

google "hacking through rdp" и читайте
Так а что конкретны за дыры я не понял. Все таки дырявый протокол или социальная инженерия?
Searcher
Уже с Приветом
Posts: 2708
Joined: 09 May 2002 17:39
Location: MA, USA

Re: Вымогатели зашифровали диск

Post by Searcher »

OtherSide wrote: 13 Jan 2023 17:04 Так а что конкретны за дыры я не понял. Все таки дырявый протокол или социальная инженерия?
Ответ на ваш вопрос в машине которую взломали. Надо смотреть логи и разбираться. Но я ни удивлюсь если пароль тупо подобрали брут-форсом - 8 characters alpha-numeric is pretty weak.

https://www.darkreading.com/attacks-bre ... %20Systems.
Last edited by Searcher on 13 Jan 2023 17:13, edited 1 time in total.
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Searcher wrote: 13 Jan 2023 17:11
OtherSide wrote: 13 Jan 2023 17:04 Так а что конкретны за дыры я не понял. Все таки дырявый протокол или социальная инженерия?
Ответ на ваш вопрос в машине которую взломали. Надо смотреть логи и разбираться. Но я ни удивлюсь если пароль тупо подобрали брут-форсом - 8 characters alpha-numeric is pretty weak.
2 821 109 907 456 комбинаций
Searcher
Уже с Приветом
Posts: 2708
Joined: 09 May 2002 17:39
Location: MA, USA

Re: Вымогатели зашифровали диск

Post by Searcher »

OtherSide wrote: 13 Jan 2023 17:12 2 821 109 907 456 комбинаций
Я там ссылку добавил для вас.
User avatar
katit
Уже с Приветом
Posts: 23960
Joined: 05 Jul 2003 22:34
Location: Брест -> St. Louis, MO

Re: Вымогатели зашифровали диск

Post by katit »

В моем случае быыл RDP, больше нечему. И то что я нарыл в интернете на это указывает. Как? А вот это уже секрет, иначе заткнули бы давно. Пока известно только то что RDP светить в мир точьно нельзя.
Лучше водки — хуже нет! ©
User avatar
IL
Уже с Приветом
Posts: 9533
Joined: 11 Jul 2000 09:01
Location: 28277

Re: Вымогатели зашифровали диск

Post by IL »

Я теперь верю в двухфакторную аутентикацию на полностью независимый, отдельный имейл. Я просто не вижу как это можно взломать вообще. Ну разве что угадать одну комбинацию из миллиона.
IL
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

katit wrote: 13 Jan 2023 18:29 В моем случае быыл RDP, больше нечему. И то что я нарыл в интернете на это указывает. Как? А вот это уже секрет, иначе заткнули бы давно. Пока известно только то что RDP светить в мир точьно нельзя.
Если оно в интернете значит общеизвестно. или я что то не понял
User avatar
Vladimir Kr.
Уже с Приветом
Posts: 571
Joined: 24 Mar 2004 07:31
Location: Krasnoyrsk -> -> Chicago

Re: Вымогатели зашифровали диск

Post by Vladimir Kr. »

Это не вирус, это имхо, дырявый RDP и/или HTTP(S) протокол/сервис. То что нет багов, не значит, что кто-то не взломал (RDP сервис), и не продал взлом в даркнете. Не конкретно ваш комп, а эту версию RDP.

вы так и не сказали какая система, винда? насколько дырявая версия.
вы так и не сказали что на 80 порту, какой веб сервис? тоже дырявый?

пароль? серьезно? даже не токен? типа yubi key.
кстати - 2х факторка на СМС/емаил, так себе защита.

ну как минимум фаервол и вход только с одного IP, я уже говорил:
в любом клауде берете виртуальную машину с настройкой фаервола на SSH только со своего IP, и тунель на свой RDP/80.
на RDP & 80 разрешаете только с клаудной виртуалки.
делаете вход на клауд - тоже по токену.
web server, желательно - с доступом только в свою директорию под chroot.
моя родина СССР!
User avatar
OtherSide
Уже с Приветом
Posts: 17361
Joined: 01 Mar 2008 15:14

Re: Вымогатели зашифровали диск

Post by OtherSide »

Vladimir Kr. wrote: 13 Jan 2023 19:50 Это не вирус, это имхо, дырявый RDP и/или HTTP(S) протокол/сервис. То что нет багов, не значит, что кто-то не взломал (RDP сервис), и не продал взлом в даркнете. Не конкретно ваш комп, а эту версию RDP.

вы так и не сказали какая система, винда? насколько дырявая версия.
вы так и не сказали что на 80 порту, какой веб сервис? тоже дырявый?

пароль? серьезно? даже не токен? типа yubi key.
кстати - 2х факторка на СМС/емаил, так себе защита.

ну как минимум фаервол и вход только с одного IP, я уже говорил:
в любом клауде берете виртуальную машину с настройкой фаервола на SSH только со своего IP, и тунель на свой RDP/80.
на RDP & 80 разрешаете только с клаудной виртуалки.
делаете вход на клауд - тоже по токену.
web server, желательно - с доступом только в свою директорию под chroot.
Windows 2022 standart свежая только 2 недели назад ставил. Активаторов не ставил, активировал через командную строку
На сервере крутился мой сервис, на счет дырявый я не понял что это значит. Ну json запросы отдает.. Не знаю как через них пробится
User avatar
katit
Уже с Приветом
Posts: 23960
Joined: 05 Jul 2003 22:34
Location: Брест -> St. Louis, MO

Re: Вымогатели зашифровали диск

Post by katit »

OtherSide wrote: 13 Jan 2023 19:26
katit wrote: 13 Jan 2023 18:29 В моем случае быыл RDP, больше нечему. И то что я нарыл в интернете на это указывает. Как? А вот это уже секрет, иначе заткнули бы давно. Пока известно только то что RDP светить в мир точьно нельзя.
Если оно в интернете значит общеизвестно. или я что то не понял
Известен вектор атаки. Один из. Но как именно не известно.
Лучше водки — хуже нет! ©

Return to “Вопросы и новости IT”