Virus Filecoder.Sodinokibi - kadiaľ prišiel?
Stroj s Win7 Pro, povolený port na RDP (na routri presmerovaný z vonku na iné, neštandardné číslo portu), nastavené zdielanie vybraných adresárov. Pod názvom Filecoder.Sodinokibi ho pozná NOD. Viac momentálne neviem, toto zobrazil NOD na inom PC pri pokuse uložiť TXT súbor s prekopírovanou výzvou na zaplatenie. Stalo sa to v noci, iné PC boli v tom čase vypnuté. Presnú verziu budem (možno) vedieť až keď budem mať ten PC v rukách.
Otázka je, kadiaľ prišiel? Cez RDP? Využíva nejakú dieru v protokole? Alebo háda meno a heslo? Alebo nainfikoval router (na ten nemám prístup) a následne využil nejakú dieru v zdielaní a pod?
Ano cez rdp, asi si ho nemal zaplatane.
Da sa to nejak neinvazivne vyskusat? Myslim bez toho, aby sa restartol alebo neznefunkcnil dany stroj. Nieco ako tu zadaj adresu a port a napise zabezpecene/zranitelne. Bez toho, aby tvorcom viru odoslalo testovane adresy a porty :)
Musel by si hladat, ktory exploit to je...viem, ze asi 1-2 roky dozadu s tym vo velkom sifrovali starsie servre zakaznikov (w2008), len ja som riesil 3 taketo pripady vtedy.
Vypni RDP v Registroch:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000001
"updateRDStatus"=dword:00000000
Vyraz Eset z pozadia systému W7.
Kontrola:
https://howtofix.guide/install-antimalware-fix.exe
No to RDP je tam nutne, takze tadial asi cesta nevedie...
Dobre tomu rozumiem, ze ten install-antimalware-fix.exe ma skontrolovat resp. vycistit virus? Ak je to tak, tak to zrejme radsej preformatujem cele, data su aj tak fuc.
Mne sa skor jedna o to, aby sa to nestalo znova, teda ktoru konkretnu zaplatu skontrolovat, pripadne vzdialene (nedestruktivne) otestovat zranitelnost.
když potřebuju zapnuté rdp, tak jen s režimem "ověření v síti":
záplata vyšla v květnu 2019.
číslo kritického balíku pro w10 nevím, mají pro každý servicepack jiný - a hlavně to m$ látal celý rok. takže asi mít kritické aktualizace z r.2019
ale zase w10 edice 2020 už to má mít zalátané.
už jsme doma, je to kb4499175. dostanu diplomek za pozorné čtení dotazu.
https://martinhaller.cz/bezpecnost/zranitelnosti-rdp-bluekeep-a-dejablue/
Riesenie je nevystavovat ziadne taketo zranitelne sluzby do netu a zvonku k nim pristupovat cez vpn.
Vdaka za reakciu. Len aby som si to zrovnal v hlave:
VPN server by bezal kde? Na tom PC na ktore sa pripajam cez RDP? Alebo by to bolo nejake ine zariadenie v sieti? Vies odporucit nejake konkretne riesenie, idealne bez potreby pridavneho HW?
Ked sa pripojim do vzdialenej lokalnej siete cez VPN, ja tam budem vlastne ako klient, aku dostanem IP? Z rovnakeho rozsahu ako maju ten stroj na ktory sa pripajam?
Teraz mozem spustit x RDP pripojeni na rozne PC v roznych LAN naraz. Ak tomu dobre rozumiem, pri vyuziti VPN by som mohol byt v jednom case pripojeny len cez jednu VPN (=do jednej LAN), chapem to spravne?
VPN server bez na brane.
Pri vpn je vzdialeny pocitac akoby vo vnutri siete, takze sa dostane na akykolvek iny.
VPN rozsah je iny ako rozsah LAN, jedine, zeby si zbridgoval LAN porty s VPN.