Основно засегнати са компютри с инсталиран на тях MSSQL сървър (ядрото на счеотоводната програма Microinvest) и разрешен достъп до компютъра през интернет на порт 1433 с цел дистанционна работа или поради пропуск в сигурността.
Как се е случило?
- Установено, че вашата система е с компрометиран порт 1433. (достъпен от интернет пространството)
- Осъществена е връзка през този порт към системата. Следва опит за автентикация с паролата по подразбиране за базата данни по подразбиране на MSSQL или Microinvest Същестуват списъци с пароли по подразбиране на редица софтуери и ако не са сменени следват стъпките по-долу.
- Злонамереният софтуер получава достъп до базата данни, получава права над нея, след което я криптира. Често заедно с базите данни са криптирани и други важни файлове на засегнатата компютърна система, като не е изключено да бъдат засегнати и други системи в същата локална мрежа.
Какво може да се направи?
- Преинсталиране на засегнатите машини и смяна на паролите съхранявани на системата им.
- Единствената възможност за възстановяване на данните е от работещ и незасегнат backup (резервно копие). Възстановяването на данните трябва да се осъществи на чиста и незасегната машина или преинсталирана.
- Не се препоръчва самостоятелен опит за декриптиране без да се разполага с ключа. Това ще доведе до невъзможност за възстановяване на информацията. Не се препоръчва и да се поддадете на изнудването, вероятността да се абонирате за редовни атаки и изнудване не е малка.
Какви предпазни мерки да вземем?
- Ако ползвате Microinvest или друг софтуер, които са достъпни през интернет. Необходимо е да се ограничи достъпа до тях. Чрез филтри в защитната стена на рутера или препоръчително изцяло. Има други по-подходящи методи за дистанционен достъп, например VPN. Но дори тогава е необходимо де се спазва кибер хигиена.
- Публичният достъп до устройства в офисната мрежа никога не е добра идея.
- Важно е използването на правилно конфигуриран и редовно поддържан Firewall. Важно е и правилното управление на дистанционният достъп.
- Регулярно създаване и управляване на backup (резервно копие)
Каква проверка можем да направим за уязвимост?
- Ако ползвате Microinvest и искате да се подсигурите, може да направите следната проверка:
- От офиса, където се намира сървъра отваряте: https://www.yougetsignal.com/tools/open-ports/
- IP адресът ще се попълни автоматично, а портът го променяте ръчно на 1433, и кликвате на Check.
- Ако излезе червено флагче и пише "Port 1433 is closed", значи е ЗАТВОРЕН и НЕ СТЕ УЯЗВИМИ към такъв тип атаки отвън.
- Това означава, че няма нужда от СПЕШНИ МЕРКИ. Въпреки това е хубаво да се вземат предпазни мерки.