¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (76)
  • añadir a favoritos
    Añadir a marcadores

¿Vd. traba en casa? Entonces vamos a verle

Consultas: 842 Comentarios: 7 Ranking: 13

martes, 30 de junio de 2020

Los usuarios de otros antivirus pueden contactar con nuestro servicio de soporte técnico (así mismo, por ejemplo, los servicios de descifrado en caso de encoders son de pago para ellos). Y a veces ni siquiera indican que no usan nuestro antivirus. Por ejemplo, así:

El equipo se infectó hace más o menos una semana, siempre está encendido, nunca suelo apagarlo, después de una sesión de trabajo ordinaria me fui a dormir y solo al di siguiente me di cuenta de que el equipo estaba apagado, al encenderlo vi que la pantalla de inicio desapareció, en la misma veo un mensaje de un extorsionista (adjunto el archivo), todos los accesos directos en el escritorio tampoco llevan iconos y ningún programa se abre… Por favor, ayuden a descifrar los archivos.

Por supuesto, pedimos la información extra – para eso, ofrecemos una utilidad especial al usuario (es más fácil que averiguar qué versión de nuestro antivirus se usa).

Primero, el equipo víctima debe desconectarse de la red.

Si el equipo está apagado, antes de encenderlo, uno debe hacer una copia de seguridad de sus datos.

Para analizar las causas de cifrado se requiere información extra directamente desde el PC donde fue iniciado el cifrador.

  1. Por favor, descargue la utilidad dwsysinfo.exe (…/dwsysinfo.exe), genere un informe en el PC víctima con la misma y adjúntelo a Su siguiente mensaje.

  2. A través de Win+R ejecute:

    cmd /c dir c:\ /a/s > "%userprofile%\dirc.log"

    - el resultado del comadno se guardará en "%userprofile%\dirc.log", Por favor, envíe este archivo (listing de la sección del sistema)

Pero luego resulta:

Le informo que el sistema está protegido por AVAST, y no por Dr.Web.

Pero no es todo. ¿Cómo se produjo la infección?

Un modo de difusión de este encoder es el inicio de sesión no autorizada al averiguar la contraseña de una cuenta, por RDP (o a través de la sesión terminal).

Otra vez contraseñas débiles y posibilidad de iniciar sesión de forma remota (recordamos que en Windows la misma está disponible de forma predeterminada).

Y ahora vamos a hablar de lo más importante. Al cambiar al trabajo remoto resulta que los empleados que trabajar desde su casa tienen acceso remoto abierto a los recursos de la empresa. Y los administradores de sistemas configuran los equipos de forma remota. Es un proceso rutinario, pero en caso de cambiar a trabajo remoto de forma masiva el número de equipos remotos creció muchas veces. Y empezó: las estadísticas confirman un crecimiento importante del número de ataques al averiguar la contraseña (bruteforce) por protocolo RDP. Y no son ataques objetivos, se seleccionan direcciones entre todas las disponibles.

Si hablamos solo de servidores, en principio, supervisados por los expertos, es así:

Solo durante la primera semana de modo de trabajo remoto el número de los servidores disponibles en Rusia aumentó un 15%, al llegar a 75 mil, y en total en el mundo fue de más de 20%.

Fuente

Y eso se refiere a los equipos ordinarios:

El número de equipos en Windows en Rusia vulnerables para los intentos de acceso por protocolo de escritorio remoto (RDP), creció un 230%.

Al crecer el número de objetivos (RDP), creció el número de ataques. Así, por ejemplo, para averiguar las contraseñas de RDP el número de intentos creció de 3–5 veces a 9–12. Los ataques empezaron a durar más tiempo, de dos a tres horas.

Fuente

#hackeo #extorisón #soporte #cifrado #cifrador

El mundo de antivirus recomienda

Para protegerse contra los ataques a RDP:

  1. Si Vd. no necesita acceso remoto – о apáguelo, al cerrar el puerto correspondiente (3389).
  2. Establezca la contraseña sofisticada (no menos de 8 caracteres que contiene letras, mayúsculas y minúsculas, números y caracteres especiales).
  3. Bloquee las cuentas no usadas y establezca la restricción de conexión remota, al mantener la posibilidad de conectarse solo desde las direcciones determinadas.
  4. Asegúrese de haber instalado todas las actualizaciones del sistema operativo.

En caso de trabajar con recursos corporativos:

  1. Establezca el acceso a RDP solo a través de VPN corporativo.
  2. Use la autenticación a nivel de la red (Network Level Authentication, NLA) y la autenticación de dos factores.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios