Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Ungeladene Gäste

Незваные гости

Andere Ausgaben dieser Rubrik (19)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Arbeiten Sie von zu Hause aus? Wir kommen Ihnen zu Hilfe!

Gelesen: 23007 Kommentare: 10 Rating: 13

Dienstag, 29. September 2020

Manchmal erhalten unsere Support-Spezialisten Anfragen von Nutzern anderer Virenschutzprogramme (unsere Dienstleistungen zur Dekodierung verschlüsselter Dateien sind für solche Nutzer kostenpflichtig). Dabei wird nicht immer angegeben, dass man unseren Antivirus nicht nutzt. Hier ist eine solcher Anfragen:

Der Computer wurde vor etwa einer Woche infiziert. Er ist immer eingeschaltet. Ich schalte ihn in der Regel nicht aus. Auch diesmal blieb der PC an. Erst am nächsten Tag bemerkte ich, dass er ausgeschaltet war. Als ich den Computer startete, wurde eine Erpressermeldung auf dem Bildschirm angezeigt (ich habe die Datei angehängt). Alle Verknüpfungen auf dem Desktop wurden ohne Icons angezeigt. Ich kann keine Anwendung starten. Könnten Sie bitte die Dateien entschlüsseln?

In solchen Fällen bitten wir Nutzer um zusätzliche Informationen und stellen ihnen ein spezialisiertes Tool zum Sammeln erforderlicher Daten bereit.

Erstens sollten Sie den Computer ausschalten. Bevor Sie den Computer wieder einschalten, erstellen Sie Backups der Dateien.

Für die Analyse brauchen wir zusätzliche Informationen vom betroffenen Computer.

  1. Laden Sie bitte das Tool dwsysinfo.exe (…/dwsysinfo.exe) herunter, um einen Bericht über den infizierten Computer zu erstellen, und hängen Sie den Bericht Ihrer nächster E-Mail an.

  2. Drücken Sie die Windows-Logo-Taste + R. Geben Sie den folgenden Befehl ein:

    cmd /c dir c:\ /a/s > "%userprofile%\dirc.log"

    - die Antwort auf den Befehl wird in der Datei %userprofile%\dirc.log gespeichert. Senden Sie uns auch diese Datei (Protokoll der Systempartition).

Und da stellt sich etwas Interessantes heraus:

Ich möchte Sie darauf aufmerksam machen, dass das System nicht mit Dr.Web, sondern mit AVAST geschützt ist.

Dies ist aber zweitrangig. Uns interessiert, wie das System infiziert wurde.

Einer der häufigsten Verbreitungswege dieses Encoders ist unbefugter Zugriff auf das System über das Knacken des Passworts für eines der Benutzerkonten, über RDP oder eine Terminalsitzung.

Oft liegt es an schwachen Passwörtern und der Möglichkeit des Fernzugriffs (in Windows ist dieser standardmäßig aktiviert).

Was ist in der heutigen Situation besonders wichtig? Viele Unternehmen sind auf Homeoffice umgestiegen. So haben Familienangehörige der Mitarbeiter Zugang zu Unternehmensressourcen. Je mehr Mitarbeiter ins Homeoffice wechseln, desto mehr Heimcomputer müssen Systemadministratoren aus der Ferne konfigurieren. Und desto aktiver sind Hacker. Statistiken zeugen von einem starken Anstieg der Anzahl von Brute-Force-Angriffen über das RDP-Protokoll. Bemerkenswert ist, dass es sich dabei nicht um gezielte Angriffe handelt. Cyberkriminelle versuchen, beliebige vorhandene Adressen zu hacken – Völlig willkürlich.

Was Server angeht, sieht die Situation wie folgt aus:

Bereits in der ersten Woche der Arbeit im Homeoffice stieg die Anzahl der Fernserver um 15% in Russland (d.h. auf 75 Tausend) und um 20% weltweit.

Quelle

Und so steht es mit Computern:

Die Zahl der Computer mit Windows, die vor Angriffen über das RDP-Protokoll nicht geschützt sind, stieg in Russland um 230%.

Folglich stieg auch die Gesamtanzahl der Cyberangriffe. Die Anzahl der Brute-Force-Versuche über RDP wuchs von 3–5 auf 9–12. Angriffe dauern nun länger – zwei bis drei Stunden.

Quelle

#Hackerangriff #Erpressung #Support #Ransomware #Verschlüsselung

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Um Ihre PCs vor Angriffen über das RDP-Protokoll zu schützen:

  1. Deaktivieren Sie den Fernzugriff auf Ihrem PC, wenn Sie ihn nicht benötigen, indem Sie den Port 3389 deaktivieren.
  2. Nutzen Sie komplexe Passwörter. Passwörter sollten mindestens 8 Zeichen lang sein und sowohl Groß- und Kleinbuchstaben als auch Ziffern und Sonderzeichen enthalten.
  3. Blockieren Sie Benutzerkonten, die nicht mehr genutzt werden, und schränken Sie die Möglichkeit der Fernverbindung ein, damit nur Geräte von bestimmten Adressen eine Verbindung mit Ihrem Netzwerk herstellen können.
  4. Stellen Sie sicher, dass alle Updates für Ihr Betriebssystem installiert sind.

Wenn Sie Unternehmensressourcen nutzen:

  1. Stellen Sie sicher, dass man auf RDP nur über das Unternehmens-VPN zugreifen kann.
  2. Nutzen Sie die Authentifizierung auf der Netzwerkebene (Network Level Authentication, NLA) und die Zwei-Faktor-Authentisierung.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer

Kommentare zu anderen Ausgaben | Meine Kommentare