Осторожно, деструктивный вирус!
На майские праздника не все отдыхали, злые хакеры провели массированную атаку на базы данных пользователей 1с.
Внешне всё выглядит достаточно банально - зашифрованные файлы и предложение оплатить расшифровку.
Вот только сумма - 10 000 российских рублей внезапно выбивается из привычного для вирусов-вымогателей "с миру по нитке".
Ну а дальше свои прелести - зашифрованы все файлы *1cd и *.dt, тоесть сами базы и их бэкапы, зашифрованы посерьёзнее банального XOR и с ключом минимум в 1024бит, расшифровщики от Dr.Web и Касперского не помогают.
Судя по всему, злоумышленники проникают в систему по RDP (подбор пароля, или увод его вирусом - не знаю), и запускают клиентскую часть шифратора - даже если успеть перехватить шифратор до самоуничтожения, то это не очень помогает, ключ и алгоритм находятся в серверной части :(
Сисадмин одной из пострадавших контор утверждает, что у них стоял вход на RDP только с определённых IP, и блокировка после трёх неправильно введёных паролей - не помогло, вирус был запущен от имени пользователя с не очень сложным паролем (легко подобрать).
Честно говоря нахожусь в состоянии растерянности и даже лёгкой паники - не вижу как можно защититься от этой напасти, кроме как полностью перекрыть RDP - но как тогда работать???
Может у кого какие умные мысли по поводу есть, и он поделится с окружающими?
P.S. Говорят за всем этим стоят ребята из Новосибирска, но так ли это, или мошенники просто набивают себе цену - не знаю...
