Вирішено

Вірус VPN Filter атакує / Вірус в мобільному телефоні / Вірус при використанні "Домашнього Інтернету"


Рівень користувача 4
  • Стажер
  • 69 відповідей

Ось нещодавно стали з'являтися неприємні новини. Напередодні фіналу Ліги Чемпіонів України очікують масові кібератаки. У зв'язку з чим вангують, що в чергову річницю Petya/NotPetya буде знову великий барабум, який покладе ваші роутери, друзі. А може і щось гірше. Так що наполегливо раджу всім оновити роутери, хто цього ще не зробив, бо ті, що видаються нашим вельмишановним Київстаром Huawei WS319 і інші не витримують ніякої критики. 

Саме погане те, що незрозумілий вектор атаки і спосіб зараження. У потоці мутного спаму і жовтих газет дуже мало корисної інформації про цю атаку. У зв'язку з чим прохання до фахівців Київстару НЕ сопіти в дві дірки, а моніторити нездорову активність у власній мережі.
Заражені роутери швидше за все будуть використовуватися для DDOS-атак і інших ботнетних принад, за непрямими ознаками виявити це буде можливо.

icon

Найкраща відповідь від Xomyak 25 травень 2018, 18:35

@Starlet, дякую за інформацію. “Київстар” на стражі порядку і готовий відбивати атаки :wink:

Переглянути оригінал

33 Відповідей

Рівень користувача 8
Позначка +5

@Starlet, дякую за інформацію. “Київстар” на стражі порядку і готовий відбивати атаки :wink:

Рівень користувача 4
Вот более подробно о механизме атаки

https://blog.talosintelligence.com/2018/05/VPNFilter.html


А может и чего похуже.

Чего похуже - это я не просто языком треплю, кто внимательно читает, тот прочтет

The x86 sample can perform the following operations:
kill: Overwrites the first 5,000 bytes of /dev/mtdblock0 with zeros, and reboots the device (
effectively bricking it).
Рівень користувача 8
Позначка +2
Боже, используете роутеры за копейки, в том числе и те что выдают на халяву при подключении услуги ДИ и жалутесь на их качество.

Купите себе хороший девайс, желательно ASUS, из последних моделей.
И получайте постоянные обновлеиня безопасности. 5 лет поддержки в топовых и средних моделях вам обеспечено, далее - кастомные прошивки.
Боже, используете роутеры за копейки, в том числе и те что выдают на халяву при подключении услуги ДИ и жалутесь на их качество.

та шо вы говорите?

а пацаны-то и не знают...

вы чисто для интереса поинтересуйтесь, например, что такое роутер tp-link tl-r600vpn из списка скомпрометированных

это роутер бизнес-класса с поддержкой vpn-туннелей и это далеко не железка за одну гривну :)

туда же микротики или циски

и да, далеко не факт, что завтра что-то такое не обнаружится в Асусе или где-то еще (там проблема в прошивках роутеров на базе линукса, а таких моделей -- вагон с прицепом)
Рівень користувача 8
Позначка +2
Вы первый раз написали про эту модель.

В любом случае, такие проблемы появляются периодически.
Тут только обновлять модель если она стара или ждать обновление от производителей.
Альтернатива - перейти на кастомную прошивку, где данной проблемы не будет.

Но в целом, я поддерживаю впорос - Киевстар просто обязан прикладывать все услиия для защиты от подобной херни, но это не всегда возможно технически.
а что Киевстар тут может поделать?

кто-то выпустил заплатки (например, Микротик, как я знаю), кто-то, как туполинк, отморозился, написав, мол, про проблему знаем, решение ищем, ждите.

тут такое.

крайний вариант -- временно сменить железо на что-то, что не скомпрометировано этим вирусом и подождать обновлений
Позначка +1
Говорят, есть такие DNS, которые защищают от ботнетов. Они блокируют подключение к серверам, которые управляют ботнетами.


Если нужно - пишите, научу использовать.
Рівень користувача 8
Позначка +1
@Starlet не посещай эти сайты по типу: Украинские Службы Информации и Petya/NotPetya вам и никому не угрожает.
Это скорее всего запускают фейковые новости для троллинга украинского сообщества. Вводят в заблуждение.
Рівень користувача 4
Боже, используете роутеры за копейки, в том числе и те что выдают на халяву при подключении услуги ДИ и жалутесь на их качество.

Купите себе хороший девайс, желательно ASUS, из последних моделей.
И получайте постоянные обновлеиня безопасности. 5 лет поддержки в топовых и средних моделях вам обеспечено, далее - кастомные прошивки.

Опять мамкины безопасники понабижали с Кэповскими советами 😃

Говорят, есть такие DNS, которые защищают от ботнетов. Они блокируют подключение к серверам, которые управляют ботнетами
Сомневаюсь в полезности данных сервисов. Ботнет по своей структуре - тысячеголовый зверь, который постоянно прирастает новыми головами, ну заблокирует этот ваш сервис один айпишник, зато завтра на его месте будет 5 новых. Откуда ваш сервис может знать их все?
Вот что он действительно может - так это стричь бабло с пугливых юзверей за подписку, думаюших, что они защищены))
Рівень користувача 8
Позначка +1
@Starlet Неубедительно! Без пруфа вся эта ваша писанина - чушь естественно .🙂

Кроме того не забывайте про DNS поверх https - пока кое какая защита имеется, а там глядишь и RFC подоспеет какому нибудь DNS поверх IP - где-то в сводках такая новость мелькала😅
Опять мамкины безопасники понабижали с Кэповскими советами 😃

с данным вирусом есть много непонятных вопросов

например, Циско утверждает, что вирусу подвержены ряд роутеров, один из которых ТП-Линк TL-R600VPN -- роутер бизнес-класса с поддержкой впн-туннелей

при этом разработчики роутера на всех углах интернета клянутся и божатся, что данный роутер для вируса неуязвим

еще более интересная ситуация с асусами -- циско перечислила ряд моделей, которые якобы уязвимы, но наряду с перечисленными моделями есть еще некоторое количество других моделей асус, прошивка которых собрана на том же "движке" и отличается только поддержкой радиомодуля, так вот эти остальные модели якобы неуязвимы, хотя, непонятно, почему так, если у них софт одинаковый (примерно, как openwrt)

сильно все это напоминает на какой-то развод -- кто-то услышал звон, но не знал, откуда он, и с перепугу раструбил на весь мир

upd: если почитать переводы с Хабра про то, как этот вирус якобы вмешивается в работу клиент-банковского софта, то там вообще такое впечатление создается, что писал человек, далекий от IT
Рівень користувача 4
с данным вирусом есть много непонятных вопросов

Вот именно, вопросов пока больше чем ответов. И именно поэтому, пока неизвествен механизм атаки и предполагаемые меры самостоятельной защиты, самой эффективной мерой является мониторинг Киевстаром подозрительного трафика в сети, который будут генерировать зараженные роутеры. Мониторинг, а не хлопание ушами.

У меня достаточно мощный Asus с кастомной прошивкой и он сам себя может отмониторить, а вот у юзеров со стандартными киевстаровскими роутерами все печально.
Что там кто пишет по моделям роутеров - это все спекуляции. Надо ждать независимых экспертов.
Всегда надо спрашивать себя - cui prodest? Если Cisco пишет про Асусы и Микротики, то и псу понятно что ей выгодно обмудососить конкурентов и сказать, что только, мол, у нас нескомпрометированные роутеры, покупайте все у нас!😊
Важно использовать самые надежные и надежные VPN, чтобы избежать подобных атак, поэтому мой надежный FastestVPN я использовал это в течение 2 месяцев. и эта VPN также дает вам белый IP-адрес.
Рівень користувача 8
Позначка +1
Важно использовать самые надежные и надежные VPN, чтобы избежать подобных атак, поэтому мой надежный FastestVPN я использовал это в течение 2 месяцев. и эта VPN также дает вам белый IP-адрес.

@DennisWilliams77 Невыгодно и категорически не рекомендую!
В них куча глюков, и можно на комп что-нибудь подцепить по типу Adware, в т.ч. скорость резко упадет
Проверьте эту статью, которую я прочитал на vpnfilter, стоит прочитать

Я использую PureVPN, он обеспечивает необходимую мне защиту.

Как защитить себя?

Теперь, когда вы знаете, что такое вредоносное ПО VPNFilter и как оно может повлиять на вас, вот несколько простых мер для защиты вашего интернет-маршрутизатора:

Обновите прошивку маршрутизатора. Производители устройств уже работают над развертыванием исправлений, которые защитят пользователей от угрозы, создаваемой вредоносным ПО VPNFilter. Поэтому убедитесь, что вы устанавливаете обновления, как только они становятся доступны.

Заводские настройки маршрутизатора:

По мнению Symantec и Cisco, сброс к заводским настройкам должен удалить вредоносное ПО с уязвимого устройства. Тем не менее, это также сбросит ваш маршрутизатор к его первоначальным настройкам. Рекомендуется немедленно изменить настройки устройства по умолчанию, чтобы предотвратить возможность повторного заражения.

Измените ваши пароли маршрутизатора:

Поскольку вредоносная программа заражает устройства, используя их учетные данные по умолчанию, имеет смысл установить более надежный пароль - длина его должна быть не менее 12 символов.

Установите VPN на вашем маршрутизаторе:

Да, это верно. VPN не только зашифрует все ваши данные, делая невозможным их чтение, но и поможет остановить вредоносное ПО на своем пути.
Забыли опубликовать ссылку вот https://www.purevpn.com/blog/vpnfilter-malware/
Рівень користувача 8
Позначка +5
@patrickjburt, полезная информация!
Спасибо 🤗
Рівень користувача 8
Позначка +1
Мда, читаю и удивляюсь, обновлять или не обновлять прошивку роутера это на ваше усмотрение, если производитель рекомендует (дыра подтверждена) то стоит, если нет, то лучше не трогайте. Чем меньше возможностей у роутера тем меньше проблем. Дешевый роутер или дорогой, на вкус и цвет фломастеры разные. Если уж паранойя зашкаливает, то да покупайте дорогой роутер, заказывайте выделенный канал, фильтруйте его через какой то хостинг от ддос атак и т.п., и спите спокойно, устроили панику в теме!))
Здравствуйте,у меня такая проблема,стоит моему отцу врубить на телефоне мобильный интернет,так ему приходит сплошной спам рекламы,а именно новости,и т.д,в том чесле и реклама про казино,но когда он вырубает мобильный интернет,и в рубает вайфай то все нормально работает,без рекламы,скажите с чем это связано пж
Рівень користувача 8
Позначка +2
Не вижу как такое может происходить.
Разве что у вас какая-то хренотень завелась на телефоне.

Если это андроид, рекомендую перепрошить с форматированием всех хранилищ
Рівень користувача 8
Позначка +5
@SAVITAR, воспользовались рекомендацией @kikiwora, удалось избавиться от рекламы и спама?
Рівень користувача 1

Добрый день, в декабре я поменял провайдера lanet на Киевстар. Подключил домашний интернет и купил у Вас роутер. 
Не знаю связано это или нет но в декабре попал вирус в систему который перепрошил роутер netis, bios на 3 ноутбуках, находится в оперативной памяти и жестких дисках ноутбуков. Я не могу от него избавится - прошивка биоса и форматирование дисков никаково эффекта не дают. 
В итоге были украдены пароли и все данные с компьютеров. 
Как быть не понимаю

Рівень користувача 7
Позначка +1

Не знаю связано это или нет но в декабре попал вирус в систему который перепрошил роутер netis, bios на 3 ноутбуках, находится в оперативной памяти и жестких дисках ноутбуков. Я не могу от него избавится - прошивка биоса и форматирование дисков никаково эффекта не дают. 
В итоге были украдены пароли и все данные с компьютеров. 
Как быть не понимаю

Вірус прошив роутер і біос на 3 ноутбуках :rofl:
Якщо серйозно, зміна провайдера аж ніяк не могла вплинути на проникнення вірусів до вашого комп’ютера. Що вам можна порадити? Ізолюйте ваші пристрої один від одного, перевстановіть Windows, встановіть антивірусне ПО, і проскануйте всі ваші файли.

Рівень користувача 1

@KurwaMatj  не стоит давать советы не разобравшись

Рівень користувача 1

Вирус грузится через GNU Grab 2

 

Відповісти