Процесс выявления новых и возникающих угроз кибербезопасности никогда не заканчивается — и в июне 2023 года BitDefender Labs обнаружила вредоносное ПО, нацеленное на системы, использующие сетевые подключения к удаленному рабочему столу из 2022 года.
Если вы используете протокол удаленного рабочего стола (RDP) , важно определить, являетесь ли вы целью и были ли украдены ваши данные. К счастью, есть несколько способов предотвратить заражение и удалить RDStealer с вашего компьютера.
Что такое RDStealer? Как на вас напали?
RDStealer — это вредоносное ПО, которое пытается украсть учетные данные и данные путем заражения RDP-сервера и мониторинга его удаленных подключений. RDStealer развертывается с помощью Logutil, бэкдора , используемого для заражения удаленных рабочих столов и обеспечения постоянного доступа через установку RDStealer на стороне клиента.
Если вредоносная программа обнаруживает, что удаленный компьютер подключен к серверу и включено сопоставление клиентских дисков (CDM), вредоносное ПО будет сканировать содержимое на компьютере и искать файлы, такие как конфиденциальные базы данных.Пароль KeePass, пароль, сохраненный в браузере, и частный SSH ключ. Он также собирает нажатия клавиш и данные буфера обмена.
RDStealer может атаковать вашу систему независимо от того, серверная она или клиентская. Когда RDStealer заражает сеть, он создает вредоносные файлы в таких папках, как «%WinDir%\System32» и «%PROGRAM-FILES%» , которые обычно исключаются при общесистемном сканировании вредоносных программ.
По данным Bitdefender, вредоносное ПО распространяется несколькими способами. Помимо вектора атаки CDM, заражение RDStealer может происходить из зараженной веб-рекламы, вредоносных вложений электронной почты и кампаний социальной инженерии . Группа, ответственная за RDStealer, кажется, очень сложна, поэтому в будущем могут появиться новые векторы атак или улучшенные формы RDStealer.
Если вы используете удаленный рабочий стол через RDP, лучше всего предположить, что RDStealer заразил вашу систему. Хотя вирус слишком умен, чтобы его можно было легко идентифицировать вручную, вы можете предотвратить RDStealer, улучшив протоколы безопасности на вашем сервере и клиентских системах, а также выполнив сканирование всей системы на вирус без ненужных исключений.
Выполните полное сканирование системы в Bitdefender.
Вы особенно уязвимы для RDStealer, если используете систему Dell, поскольку, похоже, он специально предназначен для компьютеров, произведенных Dell. Вредоносная программа специально разработана таким образом, чтобы маскироваться в таких папках, как «Program Files\Dell\CommandUpdate» , и использовать домены управления и контроля, такие как «dell-a[.]ntp-update[. ]com».
Защитите удаленный рабочий стол от RDSealer
Самое важное, что вы можете сделать, чтобы защитить себя от RDSealer, — это соблюдать осторожность при просмотре веб-страниц. Хотя подробностей о том, как RDStealer распространяется за пределы RDP-соединений, не так много, следует соблюдать осторожность, чтобы избежать практически любого вектора заражения.
Используйте многофакторную аутентификацию
Вы можете повысить безопасность подключений RDP, внедрив передовые методы, такие как многофакторная аутентификация (MFA). Требуя дополнительный метод аутентификации для каждого входа в систему, вы можете предотвратить многие типы атак RDP. Другие передовые методы, такие как реализация аутентификации на уровне сети (NLA) и использование VPN , также могут сделать вашу систему менее привлекательной и уязвимой для взлома.
Шифрование и резервное копирование данных
RDStealer эффективно крадет данные — и помимо открытого текста, найденного в буфере обмена и полученного в результате кейлоггеров, он также ищет файлы, такие как базы данных паролей KeePass. Хотя в украденных данных нет никаких положительных сторон, вы можете быть уверены, что с любыми украденными данными будет трудно справиться, если вы тщательно зашифруете свои файлы.
Шифрование файлов — относительно простая задача с правильными инструкциями. Он также чрезвычайно эффективен для защиты файлов, поскольку хакерам придется пройти сложный процесс расшифровки зашифрованных файлов. Хотя расшифровать файлы можно, хакеры с большей вероятностью перейдут к более простым целям — и в результате вы полностью не скомпрометированы. Помимо шифрования, вам также следует регулярно создавать резервные копии своих данных, чтобы избежать потери доступа в дальнейшем.
Правильно настройте антивирусное программное обеспечение
Правильная настройка антивирусного программного обеспечения также важна, если вы хотите защитить свою систему. RDStealer использует тот факт, что многие пользователи исключают целые папки вместо специально предложенных файлов, создавая в этих папках вредоносные файлы. Если вы хотите, чтобы ваше антивирусное программное обеспечение находило и удаляло RDStealer, вам необходимо изменить исключения, чтобы включать только специально рекомендованные файлы.
Управление исключениями антивируса в Bitdefender
Для справки: RDStealer создает вредоносные файлы в папках (и соответствующих подпапках), включая:
Вам следует настроить исключения из сканирования на вирусы в соответствии с рекомендациями Microsoft. Исключите только указанные типы файлов и папки и не исключайте родительские папки. Убедитесь, что ваше антивирусное программное обеспечение обновлено, и выполните полное сканирование системы.
Обновляйте последние новости безопасности
Хотя команда разработчиков Bitdefender позволила пользователям защитить свои системы от RDStealer, это не единственное вредоносное ПО, о котором вам следует беспокоиться — всегда существует вероятность того, что оно будет развиваться по-новому и удивить. Один из наиболее важных шагов, которые вы можете предпринять для защиты своих систем, — это быть в курсе последних новостей о возникающих угрозах кибербезопасности.
Как и на многих других платформах, в Windows также имеется специализированный менеджер буфера обмена, который называется «История буфера обмена».
Версия Big Sur для macOS была официально анонсирована на недавней конференции WWDC. И вы можете полностью перенести интерфейс macOS Big Sur на Windows 10 с помощью инструмента Rainmeter.
RDStealer — это вредоносное ПО, которое пытается украсть учетные данные и данные путем заражения RDP-сервера и мониторинга его удаленных подключений.
Может быть, пришло время попрощаться с Проводником и использовать стороннее программное обеспечение для управления файлами? Вот 7 лучших альтернатив Windows File Explorer.
LoRaWAN или беспроводная сеть дальнего действия полезна для связи между маломощными устройствами на больших расстояниях.
Перейдя к «Дополнительным параметрам запуска», вы можете сбросить Windows 10, восстановить Windows 10, восстановить Windows 10 из файла образа, который вы создали ранее, исправить ошибки запуска, открыть командную строку для выполнения параметров, выбрать другие, открыть настройки UEFI, изменить настройки запуска. ..
Каждый раз, когда вы подписываетесь на новую услугу, вы можете выбрать имя пользователя и пароль или просто войти в систему через Facebook или Twitter. Но стоит ли вам это делать?
DNS Google 8.8.8.8 8.8.4.4 — это один из DNS, который предпочитают использовать многие пользователи, особенно для ускорения доступа к сети или доступа к заблокированному Facebook.
Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, вы можете настроить Edge всегда запускать в режиме InPrivate.
Сегодня обычно используются два типа шифрования: симметричное и асимметричное шифрование. Основное различие между этими двумя типами шифрования заключается в том, что при симметричном шифровании используется один ключ как для операций шифрования, так и для дешифрования.
