Основно засегнати са компютри с инсталиран на тях MSSQL сървър (ядрото на счеотоводната програма Microinvest) и разрешен достъп до компютъра през интернет на порт 1433 с цел дистанционна работа или поради пропуск в сигурността.


Как се е случило?


  • Установено, че вашата система е с компрометиран порт 1433. (достъпен от интернет пространството)
  • Осъществена е връзка през този порт към системата. Следва опит за автентикация с паролата по подразбиране за базата данни по подразбиране на MSSQL или Microinvest Същестуват списъци с пароли по подразбиране на редица софтуери и ако не са сменени следват стъпките по-долу.
  • Злонамереният софтуер получава достъп до базата данни, получава права над нея, след което я криптира. Често заедно с базите данни са криптирани и други важни файлове на засегнатата компютърна система, като не е изключено да бъдат засегнати и други системи в същата локална мрежа.


Какво може да се направи?


  • Преинсталиране на засегнатите машини и смяна на паролите съхранявани на системата им.
  • Единствената възможност за възстановяване на данните е от работещ и незасегнат backup (резервно копие). Възстановяването на данните трябва да се осъществи на чиста и незасегната машина или преинсталирана.
  • Не се препоръчва самостоятелен опит за декриптиране без да се разполага с ключа. Това ще доведе до невъзможност за възстановяване на информацията. Не се препоръчва и да се поддадете на изнудването, вероятността да се абонирате за редовни атаки и изнудване не е малка.


Какви предпазни мерки да вземем?


  • Ако ползвате Microinvest или друг софтуер, които са достъпни през интернет. Необходимо е да се ограничи достъпа до тях. Чрез филтри в защитната стена на рутера или препоръчително изцяло. Има други по-подходящи методи за дистанционен достъп, например VPN. Но дори тогава е необходимо де се спазва кибер хигиена.
  • Публичният достъп до устройства в офисната мрежа никога не е добра идея.
  • Важно е използването на правилно конфигуриран и редовно поддържан Firewall. Важно е и правилното управление на дистанционният достъп.
  • Регулярно създаване и управляване на backup (резервно копие)

 

Каква проверка можем да направим за уязвимост?


  1. Ако ползвате Microinvest и искате да се подсигурите, може да направите следната проверка:
  2. От офиса, където се намира сървъра отваряте: https://www.yougetsignal.com/tools/open-ports/
  3. IP адресът ще се попълни автоматично, а портът го променяте ръчно на 1433, и кликвате на Check.
  4. Ако излезе червено флагче и пише "Port 1433 is closed", значи е ЗАТВОРЕН и НЕ СТЕ УЯЗВИМИ към такъв тип атаки отвън.
  5. Това означава, че няма нужда от СПЕШНИ МЕРКИ. Въпреки това е хубаво да се вземат предпазни мерки.



Ако имате нужда от помощ свържете се с нас. Горният текст представлява основни, но не подробни насоки.

Posted in Полезно on май 23, 2024