Процесът на идентифициране на нови и нововъзникващи заплахи за киберсигурността никога не свършва - и през юни 2023 г. BitDefender Labs откриха част от злонамерен софтуер, насочен към системи, които използват мрежови връзки, връзка с отдалечен работен плот от 2022 г.
Ако използвате протокол за отдалечен работен плот (RDP) , определянето дали сте цел и дали данните ви са откраднати е важно. За щастие има няколко метода, които можете да използвате, за да предотвратите инфекция и да премахнете RDStealer от вашия компютър.
Какво е RDStealer? Как бяхте набелязан?
RDStealer е зловреден софтуер, който се опитва да открадне идентификационни данни и данни чрез заразяване на RDP сървър и наблюдение на неговите отдалечени връзки. RDStealer се внедрява с Logutil, задна вратичка , използвана за заразяване на отдалечени настолни компютри и позволяване на постоянен достъп чрез инсталацията на RDStealer от страна на клиента.
Ако злонамереният софтуер открие, че отдалечена машина е свързана към сървъра и Client Drive Mapping (CDM) е активирано, злонамереният софтуер ще сканира съдържанието на машината и ще търси файлове като поверителни бази данни Парола за KeePass, парола, запазена в браузъра и SSH частен ключ. Той също така събира натиснати клавиши и данни от клипборда.
RDStealer може да се насочи към вашата система, независимо дали е сървърна или клиентска страна. Когато RDStealer зарази мрежа, той създава злонамерени файлове в папки като "%WinDir%\System32" и "%PROGRAM-FILES%" , които обикновено се изключват по време на сканиране за зловреден софтуер в цялата система.
Според Bitdefender зловредният софтуер се разпространява чрез няколко вектора. В допълнение към вектора на CDM атака, инфекциите с RDStealer могат да произхождат от заразени уеб реклами, злонамерени прикачени файлове към имейли и кампании за социално инженерство . Групата, отговорна за RDStealer, изглежда е особено усъвършенствана, така че нови вектори на атака - или подобрени форми на RDStealer - може да се появят в бъдеще.
Ако използвате отдалечен работен плот чрез RDP, най-безопасният ви залог е да приемете, че RDStealer е заразил системата ви. Въпреки че вирусът е твърде умен, за да бъде лесно идентифициран ръчно, можете да предотвратите RDStealer, като подобрите протоколите за сигурност на вашите сървърни и клиентски системи и като извършите сканиране на цялата система без ненужни изключения.
Извършете пълно сканиране на системата в Bitdefender
Вие сте особено уязвими към RDStealer, ако използвате система на Dell, тъй като изглежда, че е насочена специално към компютри, произведени от Dell. Злонамереният софтуер е умишлено проектиран да се прикрива в папки като „Program Files\Dell\CommandUpdate“ и да използва домейни за командване и управление като „dell-a[.]ntp-update[. ]com“.
Защитете отдалечения работен плот срещу RDSealer
Най-важното нещо, което можете да направите, за да се предпазите от RDSealer, е да бъдете внимателни, когато сърфирате в мрежата. Въпреки че няма много подробности за това как RDStealer се разпространява извън RDP връзките, трябва да се внимава, за да се избегне почти всеки вектор на инфекция.
Използвайте многофакторно удостоверяване
Можете да подобрите сигурността на RDP връзките чрез внедряване на най-добри практики като многофакторно удостоверяване (MFA). Като изисквате вторичен метод за удостоверяване за всяко влизане, можете да предотвратите много видове RDP атаки. Други най-добри практики, като прилагане на удостоверяване на мрежово ниво (NLA) и използване на VPN , също могат да направят вашата система по-малко привлекателна и уязвима за компрометиране.
Шифроване и архивиране на данни
RDStealer ефективно краде данни - и в допълнение към обикновения текст, открит в клипборда и получен от keylogging, той също търси във файлове като KeePass Password Databases. Въпреки че няма положителни резултати за откраднатите данни, можете да бъдете сигурни, че е трудно да се справите с откраднатите данни, ако сте прилежни в шифроването на вашите файлове.
Шифроването на файлове е сравнително проста задача с правилните инструкции. Освен това е изключително ефективен при защитата на файлове, тъй като хакерите ще трябва да преминат през труден процес, за да дешифрират криптираните файлове. Въпреки че е възможно да декриптирате файлове, хакерите са по-склонни да преминат към по-лесни цели - и в резултат на това вие сте напълно безкомпромисни. В допълнение към криптирането, трябва редовно да архивирате данните си, за да избегнете загуба на достъп по-късно.
Конфигурирайте правилно антивирусния софтуер
Правилното конфигуриране на антивирусен софтуер също е важно, ако искате да защитите системата си. RDStealer се възползва от факта, че много потребители ще изключат цели папки вместо конкретно предложени файлове, като създават злонамерени файлове в тези папки. Ако искате вашият антивирусен софтуер да намери и премахне RDStealer, трябва да промените изключенията, за да включват само конкретно препоръчани файлове.
Управление на антивирусни изключения в Bitdefender
За справка RDStealer създава злонамерени файлове в папки (и съответните им подпапки), включително:
Трябва да коригирате вашите изключения от сканирането за вируси според указанията, препоръчани от Microsoft. Изключете само посочените конкретни типове файлове и папки и не изключвайте родителските папки. Проверете дали вашият антивирусен софтуер е актуален и завършете пълно сканиране на системата.
Актуализирайте последните новини за сигурността
Въпреки че екипът за разработка на Bitdefender е позволил на потребителите да защитят системите си от RDStealer, това не е единственият злонамерен софтуер, за който трябва да се тревожите – и винаги има възможност той да се развие по нови начини и да изненада. Една от най-важните стъпки, които можете да предприемете, за да защитите системите си, е да сте информирани за последните новини относно възникващи заплахи за киберсигурността.
Защитната стена на Windows с разширена защита е защитна стена, която работи на Windows Server 2012 и е активирана по подразбиране. Настройките на защитната стена в Windows Server 2012 се управляват в конзолата за управление на защитната стена на Windows.
Когато променят паролата на администраторската страница за вход на Vigor Draytek Modem и Router, потребителите ще ограничат неоторизиран достъп за промяна на паролата на модема, осигурявайки важна мрежова информация.
За щастие, потребителите на компютри с Windows, работещи с процесори AMD Ryzen, могат да използват Ryzen Master за лесно овърклокване на RAM, без да докосват BIOS.
USB-C портът се превърна в стандарт за пренос на данни, видео изход и зареждане на модерни лаптопи с Windows. Въпреки че това е удобно, може да бъде разочароващо, когато включите лаптопа си в USB-C зарядно устройство и то не се зарежда.
Грешката Cannot Create Service на Ultraviewer възниква, когато инсталираме софтуера с код на грешка 1072.
Грешката да не се показва ID на Ultraviewer ще засегне връзката с отдалечен компютър.
Ultraviewer управлява компютъра дистанционно и има режим за изпращане и получаване на файлове.
Обикновено, когато изтривате файл в Windows, файлът няма да бъде изтрит веднага, а ще бъде записан в кошчето. След това ще трябва да направите още една стъпка: изпразнете кошчето. Но ако не искате да правите тази втора стъпка, ще ви покажем как да изтриете файл за постоянно в статията по-долу.
Тъмната мрежа е мистериозно място със славна репутация. Намирането на тъмната мрежа не е трудно. Обаче да се научите как да го навигирате безопасно е друг въпрос, особено ако не знаете какво правите или какво да очаквате.
Технически Adrozek не е вирус. Това е похитител на браузър, известен също като модификатор на браузъра. Това означава, че зловреден софтуер е бил инсталиран на вашия компютър без ваше знание.
