วิธีป้องกันเดสก์ท็อประยะไกลจากมัลแวร์ RDSealer

กระบวนการระบุภัยคุกคามความปลอดภัยทางไซเบอร์ที่เกิดขึ้นใหม่และเกิดขึ้นไม่มีที่สิ้นสุด - และในเดือนมิถุนายน 2566 BitDefender Labs ค้นพบชิ้นส่วนของระบบกำหนดเป้าหมายมัลแวร์ที่ใช้การเชื่อมต่อเครือข่าย การเชื่อมต่อเดสก์ท็อประยะไกล ตั้งแต่ปี 2565

หากคุณใช้Remote Desktop Protocol (RDP)การพิจารณาว่าคุณเป็นเป้าหมายหรือไม่และข้อมูลของคุณถูกขโมยหรือไม่นั้นเป็นสิ่งสำคัญ โชคดีที่มีหลายวิธีที่คุณสามารถใช้เพื่อป้องกันการติดไวรัสและลบ RDSealer ออกจากพีซีของคุณ

RDSealer คืออะไร? คุณถูกกำหนดเป้าหมายอย่างไร?

RDSealer เป็นมัลแวร์ที่พยายามขโมยข้อมูลประจำตัวและข้อมูลโดยการแพร่เชื้อเซิร์ฟเวอร์ RDP และติดตามการเชื่อมต่อระยะไกล RDStealer ถูกปรับใช้กับ Logutil ซึ่งเป็นประตูหลังที่ใช้ในการแพร่ไวรัสเดสก์ท็อประยะไกล และอนุญาตให้มีการเข้าถึงอย่างต่อเนื่องผ่านการติดตั้ง RDSealer ฝั่งไคลเอ็นต์

หากมัลแวร์ตรวจพบว่ามีเครื่องระยะไกลเชื่อมต่อกับเซิร์ฟเวอร์และเปิดใช้งาน Client Drive Mapping (CDM) มัลแวร์จะสแกนเนื้อหาบนเครื่องและค้นหาไฟล์ เช่น ฐานข้อมูลที่เป็นความลับ รหัสผ่าน KeePass รหัสผ่านที่บันทึกไว้ของเบราว์เซอร์ และ SSH ส่วนตัว สำคัญ. นอกจากนี้ยังรวบรวมข้อมูลการกดแป้นพิมพ์และคลิปบอร์ดด้วย

RDSealer สามารถกำหนดเป้าหมายระบบของคุณได้ ไม่ว่าจะเป็นฝั่งเซิร์ฟเวอร์หรือฝั่งไคลเอ็นต์ก็ตาม เมื่อ RDStealer ติดไวรัสบนเครือข่าย มันจะสร้างไฟล์ที่เป็นอันตรายในโฟลเดอร์เช่น"%WinDir%\System32"และ"%PROGRAM-FILES%"ซึ่งโดยทั่วไปจะถูกแยกออกในระหว่างการสแกนมัลแวร์ทั่วทั้งระบบ

ตามข้อมูลของ Bitdefender มัลแวร์แพร่กระจายผ่านเวกเตอร์หลายตัว นอกเหนือจากเวกเตอร์การโจมตี CDM แล้ว การติดไวรัส RDSealer ยังอาจมาจากโฆษณาบนเว็บที่ติดไวรัส ไฟล์แนบอีเมลที่เป็นอันตราย และ แคมเปญ วิศวกรรมสังคมกลุ่มที่รับผิดชอบ RDSealer ดูเหมือนจะมีความซับซ้อนเป็นพิเศษ ดังนั้นเวกเตอร์การโจมตีใหม่ๆ หรือรูปแบบที่ปรับปรุงของ RDSealer อาจปรากฏขึ้นในอนาคต

หากคุณใช้เดสก์ท็อประยะไกลผ่าน RDP ทางออกที่ปลอดภัยที่สุดคือสมมติว่า RDSealer ติดไวรัสในระบบของคุณ แม้ว่าไวรัสจะฉลาดเกินกว่าจะระบุได้อย่างง่ายดายด้วยตนเอง แต่คุณสามารถป้องกัน RDSealer ได้โดยการปรับปรุงโปรโตคอลความปลอดภัยบนเซิร์ฟเวอร์และระบบไคลเอนต์ของคุณ และโดยการสแกนไวรัสทั้งระบบโดยไม่มีข้อยกเว้นที่ไม่จำเป็น

ทำการสแกนระบบเต็มรูปแบบใน Bitdefender

คุณมีความเสี่ยงเป็นพิเศษต่อ RDSealer หากคุณใช้ระบบของ Dell เนื่องจากดูเหมือนว่าจะกำหนดเป้าหมายไปที่คอมพิวเตอร์ที่ผลิตโดย Dell โดยเฉพาะ มัลแวร์ได้รับการออกแบบโดยตั้งใจให้ปลอมตัวในโฟลเดอร์ต่างๆ เช่น"Program Files\Dell\CommandUpdate"และใช้โดเมนคำสั่งและควบคุม เช่น"dell-a[.]ntp-update[. ]com"

ปกป้องเดสก์ท็อประยะไกลจาก RDSealer

สิ่งที่สำคัญที่สุดที่คุณสามารถทำได้เพื่อป้องกันตัวเองจาก RDSealer คือการใช้ความระมัดระวังในการท่องเว็บ แม้ว่าจะไม่มีข้อมูลเฉพาะเจาะจงมากนักเกี่ยวกับการแพร่กระจายของ RDSealer นอกเหนือจากการเชื่อมต่อ RDP แต่ควรใช้ความระมัดระวังเพื่อหลีกเลี่ยงพาหะของการติดไวรัสเกือบทุกชนิด

ใช้การรับรองความถูกต้องแบบหลายปัจจัย

คุณสามารถปรับปรุงความปลอดภัยของการเชื่อมต่อ RDP ได้โดยใช้แนวทางปฏิบัติที่ดีที่สุด เช่น การรับรองความถูกต้องแบบหลายปัจจัย (MFA) ด้วยการกำหนดให้มีวิธีการรับรองความถูกต้องรองสำหรับการเข้าสู่ระบบแต่ละครั้ง คุณสามารถป้องกันการโจมตี RDP ได้หลายประเภท แนวทางปฏิบัติที่ดีที่สุดอื่นๆ เช่น การใช้การรับรองความถูกต้องระดับเครือข่าย (NLA) และการใช้ VPNยังสามารถทำให้ระบบของคุณน่าสนใจน้อยลงและเสี่ยงต่อการถูกประนีประนอม

เข้ารหัสและสำรองข้อมูล

RDSealer ขโมยข้อมูลได้อย่างมีประสิทธิภาพ - และนอกเหนือจากข้อความธรรมดาที่พบในคลิปบอร์ดและได้รับจากการล็อคคีย์แล้ว ยังค้นหาไฟล์ต่างๆ เช่น ฐานข้อมูลรหัสผ่าน KeePass อีกด้วย แม้ว่าข้อมูลที่ถูกขโมยจะไม่เป็นผลดีใดๆ แต่คุณสามารถมั่นใจได้ว่าข้อมูลที่ถูกขโมยนั้นจัดการได้ยากหากคุณขยันหมั่นเพียรในการเข้ารหัสไฟล์ของคุณ

การเข้ารหัสไฟล์เป็นงานที่ค่อนข้างง่ายพร้อมคำแนะนำที่ถูกต้อง นอกจากนี้ยังมีประสิทธิภาพอย่างมากในการปกป้องไฟล์ เนื่องจากแฮกเกอร์จะต้องผ่านกระบวนการที่ยากในการถอดรหัสไฟล์ที่เข้ารหัส แม้ว่าจะสามารถถอดรหัสไฟล์ได้ แต่แฮกเกอร์ก็มีแนวโน้มที่จะย้ายไปยังเป้าหมายที่ง่ายกว่า - และด้วยเหตุนี้ คุณจะไม่ประนีประนอมเลย นอกจากการเข้ารหัสแล้ว คุณควรสำรองข้อมูลของคุณเป็นประจำเพื่อหลีกเลี่ยงการสูญเสียการเข้าถึงในภายหลัง

กำหนดค่าซอฟต์แวร์ป้องกันไวรัสให้ถูกต้อง

การกำหนดค่าซอฟต์แวร์ป้องกันไวรัสอย่างถูกต้องก็มีความสำคัญเช่นกันหากคุณต้องการปกป้องระบบของคุณ RDSealer ใช้ประโยชน์จากข้อเท็จจริงที่ว่าผู้ใช้จำนวนมากจะยกเว้นทั้งโฟลเดอร์ แทนที่จะเป็นไฟล์ที่แนะนำโดยเฉพาะโดยการสร้างไฟล์ที่เป็นอันตรายในโฟลเดอร์เหล่านี้ หากคุณต้องการให้ซอฟต์แวร์ป้องกันไวรัสค้นหาและลบ RDSealer คุณต้องเปลี่ยนการยกเว้นให้รวมเฉพาะไฟล์ที่แนะนำโดยเฉพาะ

จัดการข้อยกเว้นของโปรแกรมป้องกันไวรัสใน Bitdefender

เพื่อเป็นข้อมูลอ้างอิง RDSealer จะสร้างไฟล์ที่เป็นอันตรายในโฟลเดอร์ (และโฟลเดอร์ย่อยตามลำดับ) รวมถึง:

• %WinDir%\System32\
• %WinDir%\System32\wbem
• %WinDir%\ความปลอดภัย\ฐานข้อมูล
• %PROGRAM_FILES%\f-secure\psb\diagnostics
• %PROGRAM_FILES_x86%\dell\คำสั่งอัปเดต\
• %PROGRAM_FILES%\dell\md ซอฟต์แวร์จัดเก็บข้อมูล\md ยูทิลิตี้การกำหนดค่า\

คุณควรปรับการยกเว้นการสแกนไวรัสของคุณตามแนวทางที่แนะนำโดย Microsoft ยกเว้นเฉพาะประเภทไฟล์และโฟลเดอร์ที่ระบุ และไม่รวมโฟลเดอร์หลัก ตรวจสอบว่าซอฟต์แวร์ป้องกันไวรัสของคุณเป็นเวอร์ชันล่าสุด และทำการสแกนระบบทั้งหมดให้เสร็จสิ้น

อัพเดทข่าวความปลอดภัยล่าสุด

ในขณะที่ทีมพัฒนา Bitdefender ช่วยให้ผู้ใช้สามารถปกป้องระบบของตนจาก RDSealer ได้ แต่ไม่ใช่มัลแวร์ตัวเดียวที่คุณต้องกังวล - และยังมีความเป็นไปได้เสมอที่มันจะพัฒนาในรูปแบบใหม่ ๆ และทำให้ประหลาดใจ ขั้นตอนที่สำคัญที่สุดอย่างหนึ่งที่คุณสามารถทำได้เพื่อปกป้องระบบของคุณคือการรับทราบข่าวสารล่าสุดเกี่ยวกับภัยคุกคามความปลอดภัยทางไซเบอร์ที่เกิดขึ้น