¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (76)
  • añadir a favoritos
    Añadir a marcadores

Infectar a distancia

Consultas: 775 Comentarios: 3 Ranking: 9

viernes, 19 de enero de 2018

¿Hay vida después de la infección (por ejemplo, una vez infectado el servidor por un cifrador)? El servidor ha sido recuperado, el usuario culpable de la infección encontrado… ¿Uno puede estar tranquilo?

Los programas nocivos de hoy con mucha frecuencia son conjuntos sofisticados destinados a robar su dinero y sacar el dinero través de su equipo. Si Vd. ha pagado un rescate por tener acceso a los datos del servidor, esto no siempre quiere decir que todo está bien. Es muy probable que hayan robado los nombres de usuario y contraseñas de sus servicios — y revendido en el mercado negro para un ataque objetivo.

Copias de pantalla de equipos infectados en el momento de acceso remoto al programa de contabilidad 1С (ampliamente usado en Rusia y los países de la CEI) por RDP

#drweb

#drweb

#drweb

https://www.cys-centrum.com/ru/news/attackers_hack_accounting_servers_with_1c

Algunos malintencionados resultan ser tan maximalistas que, además de cifrar los datos 1С, también instalan el software extra en el servidor, por ejemplo, para la búsqueda automatizada de vulnerabilidades en motores de varios sitios web (por ejemplo, WordPress).

https://www.cys-centrum.com/ru/news/attackers_hack_accounting_servers_with_1c

Además, al recibir un rescate por los datos robados, los malintencionados no garantizan que dejen de usarlos para chantajearle a Vd. o sus próximos— o que lo haga alguien que compre sus datos.

#troyano #cifrador #1С

El mundo de antivirus recomienda

El acceso remoto al sistema bancario es uno de los vectores de ataques tradicionales usado por los malintencionados desde hace mucho. Para prevenir la posibilidad de acceso remoto, use las siguientes recomendaciones.

  • Desconecte la posibilidad de acceso remoto a su servidor. Y si necesita usar acceso remoto, cambie el numero estándar del puerto de red (3389/tcp) por otro.
  • Use contraseñas sofisticadas y cámbielas con mucha frecuencia.
  • Bloquee la fuente / la cuenta usadas para averiguar la contraseña — una vez introducidas determinadas combinaciones erróneas (3–5) de nombre de usuario – contraseña.
  • No use cuentas típicas.
  • Permita el acceso remoto solo desde direcciones/subredes en concreto.
  • En caso de cualquier ataque, se recomienda un cambio completo de todos los nombres de usuario y contraseñas. Es muy probable que muchos equipos hayan sido infectados.
  • No olvide que las copias de seguridad de datos regulares son necesarias. Es muy probable que si un archivo nocivo existe mucho tiempo en su equipo, ya no habrá copias no infectadas.
  • Compruebe con regularidad la posibilidad de recuperar los datos a partir de las copias de seguridad.
  • Actualice el antivirus con regularidad. No olvide que el antivirus debe usar un sistema de actualizaciones controlado por la autoprotección, — solo en este caso se puede garantizar la entrega de actualizaciones en el servidor infectado.
  • Restrinja acceso de usuarios a los datos no necesarios con el Control de oficina Dr.Web.
  • Controle el tráfico de red con el Firewall Dr.Web — usando e mismo, configure el listado de programas que tienen acceso a Internet.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios