Nieuws
image

Remote Desktop malware gijzelt pc via WinRAR

donderdag 14 maart 2013, 10:34 door Redactie, 9 reacties

Cybercriminelen gebruiken de Remote Desktop van Windows en WinRAR om bestanden van internetgebruikers voor losgeld te gijzelen. Het Russische anti-virusbedrijf Dr. Web ontdekte de nieuwe aanval van de ArchiveLock Trojan. De aanvallers maken via de Remote Desktop functie van Windows verbinding. Vervolgens wordt geprobeerd om via 'brute force' het wachtwoord te raden.

Zodra het wachtwoord is gevonden, wordt de ArchiveLock Trojan geïnstalleerd. Dit programma gebruikt het inpakprogramma WinRAR om bestanden op de computer te versleutelen. Het origineel wordt na het inpakken verwijderd. Vervolgens wordt de vuilnisbak geleegd en alle aanwezige back-ups verwijderd.

Boodschap
Als laatste wordt er een boodschap achtergelaten waarin staat dat het slachtoffer 5.000 dollar moet betalen om weer toegang tot zijn bestanden te krijgen. Volgens Dr. Web is een groot aantal computers in Spanje en Frankrijk de afgelopen twee dagen met de malware besmet geraakt.

Reacties (9)
14-03-2013, 10:41 door Anoniem
Maar hoe doen ze dat dan, die backups verwijderen?
Mijn backups staan op externe schijven en die liggen helemaal niet in de buurt van de computer...
14-03-2013, 11:27 door Anoniem
dan maar meteen ff WinRAR er uit gooien
zo ver zo zijn mijn wachtwoorden wel ge encrypt
dus als ze gaan zoeken via trojan dan moeten ze wel door die encryptie gaan
maar als ze je moeten hebben lijkt me zo , kun je er ook niks tegen doen

vraag me dan ook af hoe je daar mee besmet raakt ieder geval mnet deze smerige val

en het unlocken van 5000dollar vraag me dan af hoe ze bij dat bedrag uitkomen
als het nu 200dollar was gingen er een paar gekken het nog betalen

beter iets er mee doen dan niks lijkt me zo
ik moet er niet aan denken als dit bij mij overkomt !
14-03-2013, 12:22 door [Account Verwijderd]
[Verwijderd]
14-03-2013, 14:55 door [Account Verwijderd]
[Verwijderd]
14-03-2013, 15:45 door Anoniem
Door Peter V: En helaas, sterker nog. Remote Desktop stond bij mij standaard ingeschakeld op Windows-8 (vlak na aankoop gecontroleerd).
De RDP poort moet je ook dichtzetten op de firewall van de router. Dit zou standaard moeten zijn, met een uitleg hoe het tijdelijk kan worden geactiveerd voor hulp van buitenaf.
14-03-2013, 17:56 door TD-er
Door Peter V: En helaas, sterker nog. Remote Desktop stond bij mij standaard ingeschakeld op Windows-8 (vlak na aankoop gecontroleerd).
Maar is je PC vanaf 't internet te benaderen?
14-03-2013, 18:27 door [Account Verwijderd]
[Verwijderd]
14-03-2013, 23:31 door Anoniem
Door Peter V: En helaas, sterker nog. Remote Desktop stond bij mij standaard ingeschakeld op Windows-8 (vlak na aankoop gecontroleerd).
Bij Windows 7 was dat idem.
Wanneer leren besturingssysteemontwerpers eens af dergelijke potentieel gevaarlijke default instellingen te activeren. Overlaten aan de eindgebruiker a.u.b.!
Stelling: bij hoeveel in goed vertrouwen handelende computergebruikers zou je de desktop misschien over kunnen nemen op afstand? Allemaal mensen die keurig auto-update hebben geactiveerd, goed letten op welke links ze wel/niet moeten klikken in E-mail (beter helemaal niet, maar enfin) enz. enz. en dan dit! Unmarken dit soort check-boxen, heren/dames software-engineers! Doen! Nu!
15-03-2013, 09:35 door Anoniem
Ik heb een tijd op het werk een systeem voor een klant open gehad voor remote desktop, met een allow from klant_ip
en deny from default erop en het was angstig om te zien hoe hard dat deny regeltje geraakt werd.

Ik denk dus dat een open remote desktop wel degelijk een script kiddie risico is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure