Обновена на 30.06.2024 от Questo
Софтуерната компания Microinvest съобщава за зачестили атаки с криптовирус срещу български потребители. Компанията предупреждава клиентите си да направят копия на базите си данни, да изключат компютрите си от мрежата и да се свържат с представител на Microinvest за анализ на системите си.
В момента има изключително агресивен криптовирус, който унищожава операционната система Windows. Ако имате най-малкото подозрение за нещо нередно в системата, моля, изпълнете следните стъпки:
1. Незабавно архивирайте всички бази данни на външен носител и изключете този външен носител от компютъра.
2. Изключете интернет от компютъра и направете пълно сканиране на операционната система.
3. Свържете се с Microinvest или наш регионален представител и поискайте съдействие за анализ на системата.
4. Сменете всички пароли в Windows, на SQL сървърите и на вашите пощи.
5. Ако имате VPN, променете му паролите.
6. Не използвайте „Стартирай като Администратор“ в нито една програма.
Слаба парола в основата на атаките
Потребители във Facebook групата DevBG предупреждават, че причина за атаките най-вероятно е използването на слаба фабрична парола от клиентите на Microinvest.
Софтуерът на Microinvest работи с SQL Server – система за управление на база данни. Потребителите на софтуера имат възможност да работят със собствен SQL Server или да получат достъп до такъв от Microinvest.
Ако изберат втория вариант, достъпът до базата данни става чрез фабрично зададена парола, която е една и съща за всички потребители на Microinvest и дори може да се намери свободно в интернет.
От гледна точка на киберсигурност използването на фабрично зададена парола за администраторски акаунт е много сериозен проблем. Администраторът трябва да се сети да я смени веднага след инсталацията, за да намали риска от пробиви.
„Паролата я има публикувана дори в руския сайт на Microinvest, както и в поне един руски форум – посочва потребителят Росен Антонов. – Паролата за администраторския акаунт трябва да е различна на всеки сървър/компютър и трябва да е тайна, но след простичко търсене в Google се вижда, че тази не е.“
Антонов допълва, че всеки, който използва счетоводния софтуер на Microinvest в мрежа, трябва да смени паролата за администраторския акаунт към SQL Server. „Хората, които искат да правят лоши неща, отдавна я знаят“, казва той.
Връзката между компютрите на клиентите на Microinvest и SQL Server става чрез порт 1433.
Към средата на май 2024 г. на територията на България има почти 4000 устройства с отворен порт 1433, показва справка в Shodan. Това не означава, че всички тези устройства са уязвими.
Как да се предпазите
От Microinvest препоръчват да следите за нередности в системата и да спазвате инструкциите, посочени в началото на тази статия.
Важно е също така да смените паролата за администраторския акаунт към SQL Server.
Експертите по киберсигурност препоръчват да не плащате откуп, ако вече сте заразени с криптувирус. Ако все пак се стигне до преговори с изнудвачите, ето как бихте могли да договорите по-изгоден откуп.