שאלה בנושא ווירוס/מתקפת Ransomeware ווירוס כופר/הצפנת קבצים

sitepoint7

New member
שאלה בנושא ווירוס/מתקפת Ransomeware ווירוס כופר/הצפנת קבצים

היי לחברים,

הסנריו:
לפטופ מרוחק שעובד ומתחבר אל הדומיין ואל הרשת הפנימית באמצעות VPN ו -RDP אל שרת/מחשב מרוחק ומדביק אותו ב Ransomeware
ואז הקבצים הלגיטימיים על אותו שרת/מחשב מרוחק הופכים להיות מוצפנים וכמובן שמשתנה ה Ownership שלהם,

קצת רקע מקדים:
מדובר במחשב נגוע בווירוסים והיסטוריית הגלישה שלו מעידה על המון אתרים מפוקפקים מסוגים שונים

השאלה:
האם קיימת אפשרות שווירוס או שמתקפה תועבר באמצעות הצינור של ה VPN?
האם קיימת אפשרות שווירוס או שמתקפה יועברו באמצעות חיבור RDP?

אשמח להתייחסותכם,
בתודה מראש!
 

Y. Welis

New member
אפשר, אם קבצים מהשרת עברו לזיכרון של הנייד, ונשמרו מחדש

בשרת, כך שהוירוס שינה אותם והטמין את עצמו בהם, הם כבר יהיו נגועים וידביקו כל מי שיפתח אותם (בין אם בשרת עצמו ובין במחשב אחר לא-מוגן).
&nbsp
כל זה כמובן כאשר אין אנטי וירוס תקין ועדכני בשרת ובנייד.
 

sitepoint7

New member
מעולה, זה בדיוק העניין...

העניין הוא שאין אפשרות לבצע COPY מהשרת ואליו
(כך שהעברת קבצים אליו וממנו איננו יכולה להתבצע...)
&nbsp
כך שבכול זאת משהו גרם איכשהו לווירוס/מתקפה לעבור מהמחשב הנייד המרוחק דרך ה VPN בחיבור RDP אל השרת
&nbsp
האם קיים הסבר הגיוני כלשהו?
אציין כי אין תיעוד על מע' ההגנה כי זה בעצם לא ווירוס אלא מצפין קבצים ולוקח בעלות
&nbsp
 

Y. Welis

New member
אם הגישה לשרת היא read only אז הסיכון נמוך

אבל בגישת VPN המטרה היא לעבוד על חומרים *בשרת*, כך שהם כן יושפעו מהוירוס (שישנה אותם).
&nbsp
&nbsp
 

sitepoint7

New member
בסדר, וזו בדיוק השאלה...

איך נעשית אותה מניפולציה והקבצים משתנים?
או יותר נכון לישאול - מה במחשב המרוחק/איזו השפעה יש למחשב המרוחק על אותם קבצים כדי שישתנו
&nbsp
מקווה שהייתי מספיק ברור בשאלה...
תודה.
 

Y. Welis

New member
הוירוס בודק אוטומטית כל מה שממופה עם אות כונן

ואולי גם בלי אות כונן, ומצפין סוגים מסויימים או מדביק אותם.
&nbsp
מרגע שהוא פעיל בזיכרון, יש לו גישה מהנייד לכל מה שהנייד יכול לראות ולפתוח (דרך הסייר). כל קובץ שניתן לשנות - ישונה.
 

sitepoint7

New member
זאת אומרת שהוא בעצם עושה מניפולציה...

שוב תודה,
&nbsp
זאת אומרת שהווירוס עושה סוג של מניפולציה על השרת אליו הוא מחובר (אל כונני המיפויי) רק בגלל שבעצם יש לו גישה ויש לו הרשאה ואז הוא בעצם מצפין ולוקח Ownership
(ובגדיוק החלק הזה חסר לי)
האם בעצם מאחורי הקלעים ומבלי שהועברו קבצים בכלל מהמחשב הנייד דרך ה RDP או דרך ה VPN מתבצע אותו תהליך?
(כל עוד הסשן ב RDP קיים/פתוח)
&nbsp
&nbsp
 

Y. Welis

New member
אם יש הרשאות קיימות לנייד (בגישה מהסייר) אז הקבצים ישונו

זה לא משנה איך החיבור נעשה - כל עוד ההרשאות קיימות.
 

Tolekutma

New member
לשתי השאלות, בוודאי שכן

כשלב ראשון נתייחס לנושא באופן המופשט:
VPN, הוא ערוץ תקשורת פשוט המאפשר קישוריות בין נקודות שונות בלי יכולת התערבות לאחרים באמצע.
במקרה שבו אתה מתאר יש ערוץ תקשורות ביין שתי המכונות.
אז התקפה יכולה להיות בכל כיוון מהנייד למחשב ומהמחשב לנייד. ללא בעייה.

ובאופן יותר מורכב,
יש כלים שמטמיעים אבטחה נוספת בערוץ ה- VPN
כגון FW, AV, IPS וכו'
השאלה האם מימשת עוד אבטחה מעבר ל VPN?

לגבי RDP,
יש מתקפות ידועות וקיימות על בסיס RDP.
 
למעלה