I_CaR Posted November 28, 2023 Share Posted November 28, 2023 Вчера был атакован по RDP компьютер в организации (на защите стоял Kaspersky Free). Покинув рабочее место на 1.5 часа, вернувшись я прочитал надпись "ваш компьютер используется другим пользователем". Это был аккаунт администратора домена. Быстро зайдя в эту сессию, увидел около 2-3 открытых окон RDP на сервера предприятия и на каждом рабочем столе уже был файл *****@*****.tld Я понял что произошло и выдернув ethetnet перезагрузил ПК (возможно это и была ошибка). Позже закрыл доступы на маршрутизаторе по RDP. Атака произошла из параллельной (созданной злоумышленником виртуальной сети - ботнет) Вопрос следующий. Это был человек или скрипт\вредоносное ПО? Возможно ли, что ВПО уже научилось взламывать RDP (узнавая связку: имя домена, пользователя, пароль) +входить на взломанном ПК ещё глубже по RDP на другие ПК и далее в тех ещё раз глубже входить по RDP? И второе, как скрипт (или всё же человек?) смог научиться выключать защиту Kasperskiy free? (режим-то администратора домена перехвачен был), так как после взлома и зашифровки всех серверов и ПК Kasperskiy стоял в отключенном состоянии. От тотального уничтожения всех серверов спас старый, необновляемый, с "оторванной головой" (серверной части нет, ушла с другой организацией), D*W**. Он, клиентская часть, на некоторых серверах оставался нетронутым с 2021 года. На тех ПК от схватил заразу и отправил в карантин. И да, в былые времена помню у него был PIN-код на разблокировку, каждый раз генерировался новый. Только сейчас осознал, что такого нет у Касперского. Он его определил как: DPH.Trojan.Encoder.13 Link to comment Share on other sites More sharing options...
Friend Posted November 28, 2023 Share Posted November 28, 2023 Добрый день, @I_CaR, Да, все возможно, супер идеальной защиты, к сожалению, нет. Многое зависит от разных факторов: как настроена защита, установлены ли все обновления критического софта, надежный ли пароль и т.д. Рекомендую ознакомиться со следующими статьями, чтобы избежать проблемной ситуации в будущем: Рекомендации по защите компьютера от программ-вымогателей: https://support.kaspersky.ru/common/settings/10952 Защита от программ-шифровальщиков в Kaspersky Endpoint Security: https://support.kaspersky.ru/kes11/settings/protection/14742#block7 Повышение безопасности RDP подключения Что такое Ransomware: https://blog.kaspersky.ru/ransomware-for-dummies/13579/ Link to comment Share on other sites More sharing options...
kmscom Posted November 28, 2023 Share Posted November 28, 2023 Я бы и настройки антивируса, защитил паролем @I_CaR , кстати , ваш вопрос ? https://otvet.mail.ru/question/235928295 Link to comment Share on other sites More sharing options...
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now