Jump to content

Recommended Posts

Posted

Вчера был атакован по RDP компьютер в организации (на защите стоял Kaspersky Free).
Покинув рабочее место на 1.5 часа, вернувшись я прочитал надпись "ваш компьютер используется другим пользователем". Это был аккаунт администратора домена.
Быстро зайдя в эту сессию, увидел около 2-3 открытых окон RDP на сервера предприятия и на каждом рабочем столе уже был файл *****@*****.tld

Я понял что произошло и выдернув ethetnet перезагрузил ПК (возможно это и была ошибка).
Позже закрыл доступы на маршрутизаторе по RDP. Атака произошла из параллельной (созданной злоумышленником виртуальной сети - ботнет)
Вопрос следующий.
Это был человек или скрипт\вредоносное ПО?
Возможно ли, что ВПО уже научилось взламывать RDP (узнавая связку: имя домена, пользователя, пароль) +входить на взломанном ПК ещё глубже по RDP на другие ПК и далее в тех ещё раз глубже входить по RDP?
И второе, как скрипт (или всё же человек?) смог научиться выключать защиту Kasperskiy free? (режим-то администратора домена перехвачен был), так как после взлома и зашифровки всех серверов и ПК Kasperskiy стоял в отключенном состоянии.
От тотального уничтожения всех серверов спас старый, необновляемый, с "оторванной головой" (серверной части нет, ушла с другой организацией), D*W**. Он, клиентская часть, на некоторых серверах оставался нетронутым с 2021 года. На тех ПК от схватил заразу и отправил в карантин. И да, в былые времена помню у него был PIN-код на разблокировку, каждый раз генерировался новый. Только сейчас осознал, что такого нет у Касперского.
Он его определил как: DPH.Trojan.Encoder.13

Posted

Добрый день, @I_CaR,
Да, все возможно, супер идеальной защиты, к сожалению, нет. Многое зависит от разных факторов: как настроена защита, установлены ли все обновления критического софта, надежный ли пароль и т.д.

Рекомендую  ознакомиться со следующими статьями, чтобы избежать проблемной ситуации в будущем:

  1. Рекомендации по защите компьютера от программ-вымогателей: https://support.kaspersky.ru/common/settings/10952
  2. Защита от программ-шифровальщиков в Kaspersky Endpoint Security: https://support.kaspersky.ru/kes11/settings/protection/14742#block7
  3. Повышение безопасности RDP подключения
  4. Что такое Ransomware: https://blog.kaspersky.ru/ransomware-for-dummies/13579/

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...