Вот уж не думал, что затронет нас каким-то образом, но вот однако-ж! Сначала предыстория. У нас стоит один компьютер, напрямую подключенный к интернету – без всяких NAT-ов, роутеров, и т.п., имеет выделенный IP – так уж исторически сложилось. Он же раздает интернет еще на пару других компов. Понятно, что постоянно включен, особо на нем ничего нет – ну просто рабочий комп такой. Поэтому никак его особо не защищали – примитивный пароль, безо всяких файрволов, и т.п. Теперь – история.
В понедельник я совершенно случайно обнаружил, что с компьютером происходит что-то весьма странное – поскольку имею особенность за ним работать. Во-первых, оказалось, что моя учетная запись стала иметь статус обычного юзера, хотя ранее была админом. Во-вторых – что пароли на других учетках админов – больше не работают. Стал копаться, что же это такое происходит – неужели вирус какой-то. NOD32 – молчал, как рыба об лед. С помощью AnVir Task Manager увидел висящий процесс Dubrute.exe. А ничего лишнего там быть не должно было. Стал разбираться, что это. Пока разбирался, кто-то удалил всю мою учетную запись со всеми папками, каталогами и файлами, лежащую в Documents and Settings, так что войти я вообще не мог. Пришлось на соседнем компьютере записать загрузочный dvd диск, чтобы сбросить пароль администратора windows xp, малюсенький диск на самом деле – мегабайт на 5, и сбрасывать все пароли по инструкции. После того, как сбросил, зашел снова под админом, и вычистил все то дерьмо, что наустанавливал там какой-то альтернативно одаренный товарищ – “софт для брута дедиков” (ссылку на эту хрень даю из соображений предупрежден – значит вооружен, чтобы знать, как защищаться от этого), сервер для counter strike, ну и подобная ерунда. Интересно, что все ставилось на рабочий стол админа, в его Documents and Settings. Также удивило то, что в dubrute не поменяли его название на svchost.exe c русской буквой о, чтобы не так заметно было в таск менеджере – обычно они так делают. Думаю, просто не успели – в воскресение, пока никого на работе не было – сломали, а в понедельник днем я это уже обнаружил. Потом еще вычистил BeTwin Terminal Services из реестра и системного каталога виндов, установил нормальный пароль на админа, и еще несколько мелочей. Но к сожалению, всего того, что лежало под учеткой, в основном на рабочем столе – восстановить не удалось никаким из способов – и слава богу, что для большинства действительно важных файлов была резервная копия.
Выводы следующие:
1) В планах размещение всех компов за НАТ-ом. Вот уж не думал, что кому-то понадобится ломать обычный компьютер – полагал, что эти времена уже прошли давно, как, например, прошло воровство дворников с машин. Пароли использовались постольку-поскольку, а теперь будут более серьезные, логины тоже скорее всего поменяем. Причем даже больше жалко, что грохнули данные, и пришлось возиться с их восстановлением, чем то, что вообще сломали.
2)Резервное копирование рулит. Вот уж не думал, что оно мне понадобится.
3)AnVir Task Manager – штука исключительно полезная в обнаружении всякой нечисти.
4)ESET NOD32 – штука столь же бесполезная от подобного вида атак.
Ну ладно, с этим разобрались, теперь немного о том, о чем уже писал. Как может быть вы помните, здесь я восхищался кредиткой от яндекса. И даже заказал себе такую. В теории, сделать и выслать должны были в пятидневный срок. По факту – прошло уже 12! рабочих дней с 27 апреля – и пока ни словом, ни духом. Полагаю, что яндекс здесь не при чем, а вот Банк Тиньков… Ну ладно бы еще, если бы письмо с предупреждением разослали – да, мол, обещали, но извините ради бога, не ожидали, что так много заявок будет, задержим выпуск до такого-то и такого-то… А доверять такому банку свои деньги при таком пофигистическом отношении – ну как-то очень напряжно. По информации с форумов ходят слухи, что сейчас начинают рассылаться карты, заказанные до 26 апреля. Иными словами, три недели вместо одной. Мощно, ребята, очень мощно. Чтобы мы так свои заказы развозили.
Upd. Пока писал этот пост, пришел е-мэйл, что карточка была 14-го выслана. Ну да ладно, редактировать его уже не буду, как говорится, что написано пером, то уже не поймаешь, если вылет – гугль все помнит.
Добавить комментарий