RDStealer-haittaohjelma on lähes kaiken kattava uhka, jota hyödynnetään Remote Desktop Protocol (RDP) -protokollan kautta. Tässä on mitä sinun on tiedettävä.

Uusien ja nousevien kyberturvallisuusuhkien tunnistamisprosessi ei lopu koskaan – ja kesäkuussa 2023 BitDefender Labs löysi osan haittaohjelmasta, joka on ollut siitä lähtien kohdistanut etätyöpöytäyhteyksiä käyttäviin järjestelmiin 2022.

Jos käytät Remote Desktop Protocol (RDP) -protokollaa, on erittäin tärkeää määrittää, onko sinua kohdistettu ja onko tietosi varastettu. Onneksi on olemassa muutamia tapoja, joilla voit estää tartunnan ja poistaa RDStealer tietokoneeltasi.

Mikä on RDStealer? Onko minua kohdistettu?

RDStealer on haittaohjelma, joka yrittää varastaa kirjautumistiedot ja tiedot saastuttamalla RDP-palvelimen ja valvomalla sen etäyhteyksiä. Se otetaan käyttöön Logutilin rinnalla, takaoven, jota käytetään tartuttamaan etätyöpöytää ja mahdollistamaan jatkuva käyttö RDStealer-asiakaspuolen asennuksen kautta.

Jos haittaohjelma havaitsee, että etäkone on muodostanut yhteyden palvelimeen ja että Client Drive Mapping (CDM) on käytössä, se skannaa, mitä koneella on ja etsii tiedostoja, kuten KeePass-salasanatietokantoja, selaimen tallentamia salasanoja ja SSH: n yksityistä avaimet. Se kerää myös näppäinpainalluksia ja leikepöydän tietoja.

instagram viewer

RDStealer voi kohdistaa järjestelmääsi riippumatta siitä, onko se palvelin- vai asiakaspuoli. Kun RDStealer saastuttaa verkon, se luo haitallisia tiedostoja kansioihin, kuten "%WinDir%\System32" ja "%PROGRAM-FILES%", jotka yleensä jätetään pois koko järjestelmän haittaohjelmien tarkistuksissa.

Haittaohjelma leviää useiden vektorien kautta Bitdefender. CDM-hyökkäysvektorin lisäksi RDStealer-tartunnat voivat johtua tartunnan saaneista verkkomainoksista, haitallisista sähköpostin liitteistä ja manipulointikampanjoista. RDStealeristä vastaava ryhmä vaikuttaa erityisen hienostuneelta, joten uusia hyökkäysvektoreita – tai RDStealerin parannettuja muotoja – tulee todennäköisesti esiin tulevaisuudessa.

Jos sinä käyttää etätyöpöytää RDP: n kautta, turvallisin veto on olettaa, että RDStealer on saattanut tartuntaa järjestelmääsi. Vaikka virus on liian älykäs tunnistaakseen helposti manuaalisesti, voit torjua RDStealeria parantamalla tietoturvaa protokollat ​​palvelimellasi ja asiakasjärjestelmissäsi ja suorittamalla koko järjestelmän virustorjuntatarkistus ilman tarpeetonta poikkeuksia.

Olet erityisen alttiina RDStealer-tartunnalle, jos käytät Dell-järjestelmää, koska se näyttää kohdistuvan erityisesti Dellin valmistamiin tietokoneisiin. Haittaohjelma on suunniteltu tarkoituksella naamioitumaan hakemistoihin, kuten "Program Files\Dell\CommandUpdate", ja se käyttää komento- ja ohjausalueita, kuten "dell-a[.]ntp-update[.]com".

Suojaa etätyöpöytäsi RDStealeria vastaan

Tärkein asia, jonka voit tehdä suojautuaksesi RDStealerilta, on olla varovainen verkossa. Vaikka RDStealerin leviämisestä RDP-yhteyksien lisäksi ei tiedetä paljon yksityiskohtia, varovaisuus riittää useimpien tartuntavektorien välttämiseksi.

Käytä monivaiheista todennusta

Voit parantaa RDP-yhteyksien turvallisuutta ottamalla käyttöön parhaita käytäntöjä, kuten monitekijätodennusta (MFA). Jos vaadit toissijaista todennusmenetelmää jokaiselle kirjautumiselle, voit estää monenlaisia ​​RDP-hakkereita. Muut parhaat käytännöt, kuten verkkotason todennuksen (NLA) käyttöönotto ja VPN: ien käyttö, voivat myös tehdä järjestelmistäsi vähemmän houkuttelevia ja helposti murtavia.

Salaa ja varmuuskopioi tietosi

RDStealer varastaa tiedot tehokkaasti – ja leikepöydältä löytyvän ja näppäinlokituksen kautta hankitun selväkielisen tekstin lisäksi se etsii myös tiedostoja, kuten KeePass Password Databases. Vaikka tietojen varastamisella ei ole positiivisia puolia, voit olla varma, että varastettujen tietojen kanssa on vaikea työskennellä jos olet ahkera tiedostojesi salaamisessa.

Tiedoston salaus on suhteellisen yksinkertainen asia oikealla oppaalla. Se on myös erittäin tehokas tiedostojen suojaamisessa, koska hakkereiden on suoritettava vaikea prosessi salattujen tiedostojen salauksen purkamiseksi. Vaikka tiedostojen salaus on mahdollista purkaa, hakkerit siirtyvät todennäköisemmin helpompiin kohteisiin - ja tämän seurauksena et välttämättä kärsi rikkomuksesta ollenkaan. Salauksen lisäksi sinun tulee myös varmuuskopioida tiedot säännöllisesti, jotta et menetä pääsyä myöhemmin.

Määritä virustorjuntasi oikein

Virustorjuntasi oikein määrittäminen on myös ratkaisevan tärkeää, jos haluat suojata järjestelmääsi. RDStealer hyödyntää sitä tosiasiaa, että monet käyttäjät sulkevat pois kokonaisia ​​hakemistoja tiettyjen suositeltujen tiedostojen sijaan luomalla haitallisia tiedostoja näihin hakemistoihin. Jos haluat, että virustorjuntasi löytää ja poistaa RDStealerin, sinun on tehtävä se muuta skannerin poissulkemisia sisältää vain tietyt suositellut tiedostot.

Viitteeksi RDStealer luo haitallisia tiedostoja hakemistoihin (ja niiden vastaaviin alihakemistoihin), jotka sisältävät:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md-tallennusohjelmisto\md-määritysapuohjelma\

Sinun tulee säätää virustarkistuksen poissulkemisesi ohjeiden mukaisesti Microsoft. Sulje pois vain tietyt tiedostotyypit ja hakemistot, äläkä emohakemistoja. Varmista, että virustorjuntasi on ajan tasalla, ja suorita täydellinen järjestelmätarkistus.

Pysy ajan tasalla viimeisimmistä turvallisuusuutisista

Vaikka Bitdefenderin tiimin kova työ on antanut käyttäjille mahdollisuuden suojata järjestelmiään RDStealeriltä, ​​se ei ole ainoa haittaohjelma, josta sinun on huolehdittava – ja on aina mahdollisuus, että se kehittyy uudeksi ja odottamattomaksi tavoilla. Yksi tärkeimmistä toimenpiteistä, jonka voit tehdä järjestelmäsi suojaamiseksi, on pysyä ajan tasalla uusimmista uutisista uusista kyberturvallisuusuhkista.

Suojaa etätyöpöytääsi

Vaikka uusia uhkia ilmaantuu joka päivä, sinun ei tarvitse alistua joutumaan seuraavan viruksen uhriksi. Voit suojata etätyöpöytääsi oppimalla lisää mahdollisista hyökkäysvektoreista ja parantamalla tietoturvaprotokollia järjestelmissäsi ja vuorovaikutuksessa verkon sisällön kanssa tietoturvaan keskittyen näkökulmasta.