Přihlašujete se k Vašemu serveru na tzv. „vzdálenou plochu“ protokolem RDP? Měli by jste číst dál…

V poslední době se objevují útoky na TCP port 3389, který používá protokol RDP (Remote DesktoP neboli vzdálená plocha), jejichž cílem je nakazit nedostatečně zabezpečený počítač nebo server Ransomwarem, který následně zašifruje data na disku velmi silnou šifrou, smaže jejich zálohy a požaduje výkupné za rozšifrování. Na konci textu najdete odkaz na článek v angličtině, jenž popisuje způsob napadení podrobněji.

Zkrácený popis, jak útok probíhá

Hacker skenuje veřejné IP adresy na Internetu, aby zjistil, jestli někde není otevřený známý port TCP 3389, který používá protokol RDP (ten používá služba terminálového serveru nebo tzv. vzdálená plocha).

Pokud ano, provádí na něj tzv. slovníkový útok nebo tzv. útok hrubou silou. Pokud se podaří takto uhádnout uživatelské jméno a heslo a následně se na server přihlásit, hackerovi již téměř nic nebrání v dokonání díla zkázy.

Dalším krokem je získání uživatelského jména a hesla k účtu, který má administrátorské oprávnění na napadeném stroji. Administrátorské oprávnění hacker potřebuje, aby měl přístup ke všem datům na napadeném počítači nebo serveru. Uživatelské jméno a hash jeho hesla si systém po prvním přihlášení uloží do lokální cache. Hacker speciálním nástrojem dokáže uživatelské jméno a hash hesla získat (heslo samotné získat nepotřebuje, stačí mu jeho hash). S těmito dvěma údaji již hacker dokáže spustit libovolný proces s administrátorským oprávněním a tedy i smazat zálohy dat a spustit připravený ransomware.

Jak se proti tomuto útoku bránit? Změňte port na kterém je RDP přístupné z Internetu.

Na routeru v pravidlech NAT (port forward) je potřeba změnit výchozí číslo portu na němž bude z Internetu přístupný protokol RDP, běžící na Vašem počítači nebo serveru na portu 3389. V praxi to znamená, že protokol RDP bude na serveru ve vnitřní síti i nadále běžet na portu 3389, do Internetu ale bude na routeru publikován pod jiným číslem portu.

Pro vzdálené přihlášení je potřeba spouštět „Připojení k vzdálené ploše“ z příkazového řádku příkazem „mstsc.exe /v:<číslo_portu>“ (například mstsc.exe /v:10000) nebo do pole pro název počítače k němuž se chceme přihlásit zadat jméno nebo IP adresu cílového počítače ve tvaru <název_serveru>:<číslo_portu> (například „server.domena.cz:10000“ nebo „62.109.128.23:10000“).

Tato změna samotná nestačí. Je nutné dostatečně chránit i uživatelské účty.

Všechny aktivní účty by měly mít nastavené dostatečně silné, (tzv. komplexní) heslo o délce minimálně 7 znaků, s jeho pravidelnou změnou alespoň jednou ročně. Účty s administrátorským oprávněním by měly mít heslo o délce alespoň 10 znaků. Nepoužívané uživatelské účty, je třeba zakázat, aby nemohly být zneužity.

Útok se povedl, data jsou zašifrovaná. Co teď?

Upřímně… moc možností není.

  • vyčistěte systém antivirem (nejlépe offline)

  • pokud máte zálohu z doby před nákazou ransomware, obnovte data z této zálohy

Pokud zálohu nemáte, stále je jistá naděje na úspěch…

  • udělejte si zálohu zašifrovaných dokumentů pro možnost pozdějšího rozširování

  • zjistěte, jestli není dostupný decryptor pro ransomware který Vám data zašifroval

  • pokud není teď, nezoufejte, třeba bude k dispozici později (k tomu se bude hodit ta záloha)

  • pokuste se specializovaným nástrojem obnovit smazané soubory na jiný disk (nejlépe externí)

  • pořád nic?  zkuste dát data dohromady jiným způsobem (prohlédněte ostatní počítače, flešky, DVD, emaily)

To je vše, víc se toho udělat nedá…. 🙁