Windows Server - Protegendo sua Conexão RDP - RANSOMWARE

Trata-se de um ataque de um ransomware, detectado pela Kaspersky como Trojan-Ransom.Win32.Agent.hxf.

O virus compacta os arquivos com o WinRAR, usando criptografia AES com hash criptográfico altíssimo.Infelizmente não é possível recuperar os arquivos criptografados por essa versão da praga.

Tem afetado especialmente servidores rodando Windows Server 2003 e 2008 com o serviço **RDP (Remote Desktop Protocol) **ativado.

O ataque pode ser feito de 2 formas: brute force na senha do RDP ou então usando a falha descrita aqui:

http://technet.microsoft.com/en-us/security/bulletin/MS12-020

Apesar da detecção e bloqueio da praga pelo antivírus, o ataque é efetivo devido ao modo como é feito. Depois que o atacante acessa o servidor, ele desativa o antivírus, infecta o servidor e criptografa os arquivos.

Para efetuar o ataque basta:

1) saber o IP da máquina remota;

2) certificar-se de que a máquina remota tenha o serviço RDP desatualizado;

3) invadir enviando crafted packets RDP remotamente.

Veja que não se trata de 0 day. Essa falha foi fixada pela Microsoft em MARÇO DE 2012.

Prevenção do ataque:

- manter a instalação do antivírus com senha forte, evitando que o mesmo seja desativado;

- manter backups regulares;

- instalar o patch MS 12-020 que corrige a falha no serviço RDP;

- manter uma política de senhas fortes nos acessos RDP;

- manter a instalação do Windows sempre atualizada.