RSAUtil - moja przygoda z zaszyfrowanymi plikami

[SongokuH 0]

Cześć!

 

Nie sądziłem, że mnie to spotka, a jednak.

W tym tygodniu siadam sobie do jednego kompa, który działa 24h na dobę, bo często loguję się na niego zdalnie.

Uderzyła mnie biel z ekranu, bo wszystkie ikony były białe, po chwili dostrzegłem, że każdy plik ma dopisek [iDjakiśtamnumer], a w każdym folderze pozostawiona informacja jak odblokować pliki z podanym mailem w jakiejś indyjskiej domenie.

Na pulpicie zostawiony był plik .bat z krótkim kodem, który zamieszczam w załączniku jako zdjęcie, które trzasnąłem sobie na pamiątkę przed formatem.

Macrium Reflect jeszcze działał, więc zrobiłem sobie obraz tego kompa na dysk USB, który schowałem na dno szafy, może kiedyś znajdzie się deszyfrator, chociaż na danych mi specjalnie nie zależy, bo miałem kopię.

Plik na pulpicie został utworzony po północy, a do 7 rano przeleciał kilkanaście TB danych lokalnych i na zmapowanych dyskach z NASów. Całkiem wydajny moim zdaniem. Nie dotarł natomiast do lokalizacji sieciowych, do których miałem tylko skróty.

 

Przyznam, że wstyd mi, że mnie to spotkało, bo sam wszystkich ostrzegam jak mają obchodzić się z netem i podejrzanymi mailami, pendrive'mi itd.

 

Z tego co poczytałem, to możliwe jest, że zarażono mnie przez pulpit zdalny? Ciekawi mnie przebieg ataku, wcześniej ktoś wykradł dane logowania czy może jak czytałem generator słownikowych haseł zajął się sprawą?

Pewnie moim błędem było, to że konto nazywało się "Administrator", a hasłem było imię z japońskiej kreskówki bez znaków specjalnych i cyfr?

A może coś wlazło z podłączanego dysku, bo robię znajomym i rodzinie proste "naprawy" kompów i przed każdą zrzucam obraz całego dysku w razie "W".

 

Piszę sobie o tym dość lekko, bo miałem świeże kopie zapasowe i przynajmniej mam czysty system, który fajnie teraz hasa. Moje dane to były głównie obrazy dysków na zmapowanym folderze sieciowym z NASa, w większości już nie potrzebne, trzymane w razie ktoś by sobie przypomniał, że miał taki a taki plik na dysku rok temu i czy przypadkiem nie mam. I tak je sukcesywnie kasuje jak się robi mało miejsca.

 

Chodzi mi teraz o to jak się zabezpieczyć na przyszłość. Nowego użytkownika stworzyłem z unikatową nazwą, z długim niesłownikowym hasłem zawierającym małe i duże znaki oraz cyfry. Zmieniłem też przekierowanie portu do zdalnego na routerze, nie mapuję już dysków tylko używam skrótów. Ciekawe czy to wystarczy.

 

 

Pozdrowienia,

bądźcie czujni bardziej niż ja

[Fonzie 37]

Sposobów złapania tego typu wira jest zapewne cała masa.

Pewne jest to że autorzy tego typu oprogramowania w chwili schwytania powinni być surowo i przykładnie karani (absolutnym minimum powinno być 10 lat pod celą z Ahmedem dusicielem )