Решаем проблему с вирусом блокиратором

Троян VPNFilter заразил 500 тыс. роутеров в 54 странах мира

Эксперты по безопасности с тревогой наблюдают за растущей эпидемией вредоносной программы VPNFilter, которая успела за относительно короткий срок заразить не менее 500 тыс. роутеров и иных сетевых устройств в 54 странах мира. Наибольшее количество заражений наблюдается на территории Украины.

В сообщении ИБ-компании Talos говорится, что в первую очередь под угрозой оказались роутеры и носители сетевого оборудования таких производителей, как Linksys, MikroTik, Netgear, QNAP и TP-Link, предназначенных для дома и офиса.

Вирус, по мнению фирмы, опасен прежде всего тем, что «позволяет похищать учетные данные сайтов и вести мониторинг протоколов Modbus SCADA». Иными словами, этот вирус целит прежде всего в критическую инфраструктуру. Эксперты Talos также отмечают, что не смогли пока полностью изучить вирус и не нашли пока способа нейтрализовать этот вредонос, теоретически «способный блокировать доступ в интернет для сотен тысяч» пользователей. Преждевременную публикацию эксперты объяснили растущими темпами заражений именно на территории Украины.

Talos отмечает также, что вредонос содержит некоторое количество кода, «персекающегося» с кодом вредоносных программ, использованных в контексте APT-кампании BlackEnergy.

Контрольные суммы самоподписанного сертификата

Уязвимые роутеры

Не каждый маршрутизатор может пострадать от VPNFilter. Symantec подробно описывает, какие маршрутизаторы уязвимы. На сегодняшний день VPNFilter способен заражать маршрутизаторы Linksys, MikroTik, Netgear и TP-Link, а также устройств с подключением к сети (NAS) QNAP. К ним относятся:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik Router (для маршрутизаторов с облачным ядром версии 1016, 1036 и 1072)
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Другие устройства NAS QNAP с программным обеспечением QTS
  • TP-Link R600VPN

Если у вас есть какое-либо из вышеперечисленных устройств, проверьте страницу поддержки вашего производителя на наличие обновлений и советы об удалении VPNFilter. У большинства производителей уже есть обновление прошивки, которое должно полностью защитить вас от векторов атаки VPNFilter.

ФБР советует перезагрузить свои роутеры для избавления от зловреда VPNFilter +11

  • 28.05.18 07:54


marks

#360535

Хабрахабр

31800

Информационная безопасность, Сетевое оборудование

Одна из моделей роутеров, заражаемых VPNFilter
На днях стало известно о том, что ФБР просит пользователей интернета в США перезагрузить свои роутеры для того, чтобы избавиться от вируса VPNFilter. Malware о котором идет речь, как считают специалисты, заразило сотни тысяч различных сетевых устройств. Избавиться от него можно очень простым способом — просто перезагрузить свой роутер.
О самом зловреде рассказывали специалисты компании Cisco Talos на прошлой неделе. В настоящее время количество зараженных вирусом роутеров достигло полумиллиона и продолжает увеличиваться. Это роутеры не одного и не двух производителей, а многих известных вендоров, включая Linksys, Mikrotik, Netgear, QNAP и TP-Link.VPNFilter позволяет своим создателям получать данные переписки пользователя зараженного роутера, осуществлять атаки на другие устройства или даже выводить из строя сетевое устройство всего одной командой. Выполнение ее приводит к полной неработоспособности зараженной системы.
По мнению специалистов Cisco Talos, разработчики вируса — российская команда взломщиков, известная как Sofacy, Fancy Bear, APT 28 и Pawn Storm

О причастности к разработке вируса именно этой группы говорят косвенные признаки, на которые и обратили внимание специалисты по информационной безопасности. Для того, чтобы избавиться от вредоносного ПО, нужно вернуть роутер к фабричным настройкам или хотя бы перезагрузить его

Известно, что многие зловредные программы уничтожаются, если зараженное устройство перезагрузить. Но это, к сожалению, характерно лишь для относительно простых устройств.
ФБР удалось обнаружить основной сервер группы, который был изъят для дальнейшего изучения. Именно благодаря этому агенты ФБР смогли выяснить, сколько именно устройств было заражено этим вирусом (об этом говорилось в самом начале).
Собственно, если перезагрузка может помочь, то почему и не попробовать, верно? ФБР предлагает выполнить эту операцию не только пользователям тех моделей роутеров, о которых известно, что они уязвимы, но и тех, которые пока что не фигурируют в сводках специалистов по кибербезопасности. Таким образом можно просто перестраховаться.
Кроме того, владельцам потенциально уязвимых устройств советуют убрать возможность удаленной настройки роутера и вообще отключить всякий удаленный доступ во избежание дальнейших проблем. Второй шаг — обновление прошивки, это позволит изменить многое, защитив сетевые устройства и сами сети еще лучше.
После перезагрузки устройства окажутся уязвимыми для повторного заражения. Но если соблюдать элементарные правила работы в сети, то вряд ли что изменится. Интерфейс перезагрузки отличается от роутера к роутеру, но смысл все равно один — перезагрузить систему
Кроме ФБР еще и Министерство внутренней безопасности попросило граждан США перезагрузить последние для того, чтобы снизить количество зараженных устройств. Среди потенциально уязвимых роутеров следующие:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Other QNAP NAS devices running QTS software
  • TP-Link R600VPN

ПК или ноутбук

Способов выхода в Интернет с планшета через компьютер есть как минимум с десяток. Но ни один из них не назовешь простым.

Так, например, для подключения Интернета на планшете через компьютер, как минимум, вам понадобится получить root-права на планшете (права администратора) и установить соответствующий софт на компьютер или ноутбук. После запуска программы на ПК подключить планшет к нему через USB и включить «Режим отладки». Сейчас мы говорим только об Android-планшетах.

Программка предложит для подключения использовать один из DNS-серверов. Вам останется только выбрать подходящий. Подтверждение о запуске программы и о синхронизации процесса с планшетным аналогом данного приложения обязательно должно высветиться на «таблетке».

И это, в принципе, все. Если подключение установить не удалось, попробуйте на планшете входить через свой IP-адрес. Может, поможет.

Что это

VPNFilter – это Malware или вредоносный код, способный заражать роутеры или сетевые хранилища . С его помощью злоумышленники могут получить доступ к информации на устройствах пользователей и к трафику, проходящему через эти устройства.

Вредоносный код состоит из нескольких блоков, каждый из которых выполняет определенную цель:

  1. Блок 1 позволяет вредоносному коду оставаться в памяти оборудования даже после его перезагрузки. Этот блок ответственен за загрузку остальных блоков.
  2. Блок 2 позволяет получить доступ к трафику, проходящему через устройство. Он способен вывести устройство из строя, превратив роутер в «кирпич».
  3. Блок 3 состоит из различных плагинов для получения доступа и передачи данных злоумышленникам.

При «мягкой» перезагрузке маршрутизатора, блок 1 продолжает работу, поэтому даже после удаления 2 и 3 блоков, они вновь будут загружены в память маршрутизатора.


VPNFilter заражение

Как вылечить зараженный роутер

ФБР и ведущие эксперты по безопасности выпустили ряд рекомендаций по защите маршрутизаторов и процедуре их лечения от VPNFilter:

  1. Выполнить сброс маршрутизатора к заводским настройкам.
  2. Отключить возможность удаленного администрирования на устройстве.
  3. Изменить пароль.
  4. Обновить прошивку.

Уязвимые роутеры

С каждым днем количество известных зараженных устройств увеличивается. По оценке специалистов, следующие модели роутеров содержат критические уязвимости, способствующие заражению вредоносным кодом:

  • Asus серии N
  • D-Link (серия DIR-300, DSR и DES) Huawei 8245
  • Linksys Серия 12хх, 25xx, 3xxx 42xx
  • Mikrotik серии CCR, CRS, RB и STX5
  • Netgear DG/DGN; WNR, WNDR
  • QNAP 251, 439
  • TP-Link R600, WR741, WR841
  • Ubiquiti
  • UPVEL
  • ZTE: H108


VPNFilter угроза роутеру

Как обнаружить, что роутер заражен

100% способа узнать, заражено ли устройство VPNFilter нет. Но у Symantec есть бесплатная утилита проверки на один из плагинов этого malware – ssler. Выполнить проверку можно по этой ссылке: http://www.symantec.com/filtercheck/, нажав vpnfilter check.


symantec.com

Как удалить VPNFilter и защитить свой роутер

Чтобы защитить свое устройство, даже если его нет в списке уязвимых, необходимо зайти на сайт производителя оборудования и скачать свежую прошивку. Не стоит устанавливать прошивки с посторонних сайтов, а также не следует устанавливать модифицированные прошивки. В противном случае маршрутизатор может превратиться в «кирпич». Обезопасить себя от заражения VPNFilter можно настроив сетевой экран или установив Firewall:

  • Norton security;
  • Avast internet security;
  • Kaspersky Internet security;
  • и др.


Norton security

Как выполнить hard reset

В каждой модели маршрутизатора предусмотрена возможность полного сброса настроек, отката обновлений и очистки памяти при помощи hard reset. Инструкции по сбросу настроек к заводским, следует искать на официальном сайте производителя оборудования или в руководстве к оборудованию. Инструкции по hard reset для уязвимых маршрутизаторов можно найти по ссылкам:

  • Для Linksys
  • Для Netgear
  • Для MikroTik
  • Для QNAP
  • Для TP-Link
  • Для Asus
  • Для D-Link
  • Для Ubiquiti


Роутер кнопка reset

Вывод

Если роутер находится в группе риска, то даже если он не заражен, необходимо установить актуальную прошивку и настроить брандмауэр (Firewall)

Это поможет обезопасить пользователя от потери важной информации, данных аккаунтов или номеров кредитных карт

ExpressVPN

1 место. Лучшее предложение на рынке VPN Сервисов

  • Скидка 49%
  • 30 дней бесплатного периода
  • Поддержка всех устройств и платформ

2 место в рейтинге VPNside

  • Скидка 41%
  • 30 дней бесплатного периода
  • Поддержка всех устройств и платформ

3 место в рейтинге VPNside

  • Скидка 70%
  • 30 дней бесплатного периода
  • Поддержка всех устройств и платформ

Сканирование Cure It!

Согласно отзывам, восстановить доступ к заблокированным ресурсам очень часто помогает бесплатная утилита лаборатории Dr.Web.

Скачать её можно по этой официальной ссылке у нас на сайте.

Скачать Dr. Web Cure It бесплатно на русском языке

Запускаем программу и переходим в настройки (клик по гаечному ключу в правом верхнем углу):

  • Везде, кроме первого пункта устанавливаем значение «Удалить». Сохраняем изменения.
  • В основном окне выбираем объекты сканирования (рекомендую отметить галочками все пункты):

  • Запускаем проверку. Длиться она может от получаса до нескольких часов. Время зависит от объема жесткого диска и количества запущенных процессов.
  • Когда процесс завершится, нажимаем на кнопку «Исправить» и перезапускаем компьютер.

Ну теперь уж точно проблема будет устранена. Чтобы проверить, установите соединение с интернетом и запустите свой браузер. Введите в адресной строке сайт, на который было установлено ограничение.

Заработало? Примите мои искренние поздравления!

Если же вирус продолжает блокировать и просить денег, значит мы имеем дело с чем-то новым и более серьезным. Предлагаю вместе искать решение, но для начала жду Ваших комментариев с подробным описанием ситуации.

Суть проблемы

Не так давно я заметил, что «хакеры» придумали более изощренные методы вымогательства денег. При попытке зайти на сайт Google или Яндекс появлялось окно, в котором предлагается заплатить определенную сумму, чтобы разблокировать браузер. Ни в коем случае не стоит вестись на подобные провокации. Иначе потеряете деньги, а через некоторое время вирус снова активируется. Вот несколько советов:

  1. Никогда не предоставляйте свой номер телефона, который может быть добавлен в базу рекламных рассылок;
  2. Не отправляйте СМС для получения кода активации;
  3. Не реагируйте на сообщения о вирусной угрозе, если конечно это сообщение не выдает установленный антивирус. Даже если Вам предлагают скачать суперкрутой софт для сканирования – отказывайтесь!

Помните, что посещение поисковых систем, социальных сетей и прочих ресурсов является полностью бесплатным. И если Вас просят заплатить за это, значит пора задуматься о тщательной проверке системы на предмет внешнего вмешательства.

Как удалить VPNFilter и защитить свой роутер или NAS

В соответствии с рекомендациями Symantec, необходимо перезагрузить устройство, а затем немедленно применить любые действия, необходимые для обновления и перепрошивки. Это звучит просто, но, опять же, отсутствие постоянного обновления программного обеспечения и прошивки является самой распространённой причиной кибератак. Netgear также советует пользователям своих устройств отключать любые возможности удалённого управления. Linksys рекомендует перезагружать его устройства хотя бы раз в несколько дней.

Простая очистка и сброс вашего маршрутизатора не всегда полностью избавляет от проблемы, поскольку вредоносное ПО может представлять собой сложную угрозу, что может глубоко поражать объекты прошивки вашего маршрутизатора. Вот почему первый шаг – проверить, была ли ваша сеть подвергнута риску этой вредоносной программы. Исследователи Cisco настоятельно рекомендуют это сделать, выполнив следующие шаги:

  1. Создайте новую группу хостов с именем «VPNFilter C2» и сделайте её находящейся под внешними хостами через Java UI.
  2. После этого подтвердите, что группа обменивается данными, проверив «контакты» самой группы на вашем устройстве.
  3. Если нет активного трафика, исследователи советуют сетевым администраторам создать тип сигнала отключения, который путём создания события и выбора хоста в веб-интерфейсе пользователя уведомляет, как только происходит трафик в группе хостов.

Прямо сейчас вы должны перезагрузить маршрутизатор. Для этого просто отключите его от источника питания на 30 секунд, затем подключите обратно.

Следующим шагом будет сброс настроек вашего маршрутизатора. Информацию о том, как это сделать, вы найдёте в руководстве в коробке или на веб-сайте производителя. Когда вы снова загрузите свой маршрутизатор, вам нужно убедиться, что его версия прошивки является последней. Опять же обратитесь к документации, прилагаемой к маршрутизатору, чтобы узнать, как его обновить.

ВАЖНО. Никогда не используйте для администрирования имя пользователя и пароль по умолчанию

Все маршрутизаторы той же модели будут использовать это имя и пароль, что упрощает изменение настроек или установку вредоносного ПО. 

Никогда не пользуйтесь интернетом без сильного брандмауэра. В группе риска FTP-серверы, NAS-серверы, Plex-серверы. Никогда не оставляйте удалённое администрирование включённым. Это может быть удобно, если вы часто находитесь далеко от своей сети, но это потенциальная уязвимость, которую может использовать каждый хакер. Всегда будьте в курсе последних событий. Это означает, что вы должны регулярно проверять новую прошивку и переустанавливать её по мере выхода обновлений.

Безопасность роутеров — старая и устойчивая проблема

В последние годы количество вредоносных программ, атакующих именно сетевое оборудование, а не конечные устройства, устойчиво растет.

«Как правило, эти устройства один раз настраивают и забывают про их существование, даром, что через них идет весь трафик. Этим и пользуются злоумышленники, — отмечает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Сами пользователи очень часто игнорируют базовые требования к безопасности роутеров, оставляя заводские логины и пароли. В подобных случаях даже какие-либо эксплойты не нужны, чтобы перехватить контроль над устройством. При наличии анализатора трафика злоумышленники могут фактически видеть все данные, идущие через данный роутер.

На данный момент, по заявлению Talos, от угрозы очень трудно защититься. В первую очередь потому, что роутеры крайне редко оснащаются какими-либо собственными средствами защиты, так что они абсолютно открыты перед любыми кибератаками.

«Проблема усложняется тем, что большинство устройств, находящихся под угрозой, сегодня обладают уязвимостями, которые широко известны, но которые при этом сложно исправить среднестатистическому пользователю», — указывают эксперты.

В подобных случаях остается полагаться только на то, что производители устройств оперативно выпустят исправления для прошивок, и на внешние инструменты проверки сетевых устройств. Например, IoT Inspector — автоматический сканер аппаратно-программного обеспечения — позволяет анализировать программные оболочки множества IoT-устройств, включая роутеры, принтеры и т.д., на предмет имеющихся в них уязвимостей.

Для роутеров, чьи прошивки могут не обновляться годами, подобные сканеры могут стать необходимой страховкой от подобных инцидентов.

В свою очередь, Talos уже опубликовал обширный список Snort-сигнатур для известных уязвимостей, которые эксплуатируются VPNFilter. Этот список вряд ли является полным, учитывая, что исследование VPNFilter не окончено, но даже он может помочь предотвратить заражения пользователям уязвимых роутеров.

Подключение по 3G

Если вы хотите всегда оставаться на связи, то стоит отдать предпочтение планшету с 3G модулем. Такие модели весьма мобильны и позволяют выходить в Интернет независимо от близости Wi-Fi роутера.

Обычно настройка соединения не требует особых усилий — достаточно установить SIM-карту и активировать ее. После чего оператор самостоятельно высылает необходимые данные. От вас требуется только включить передачу данных. Если маршрут вашей поездки не может похвастать отличным 3G покрытием, не забудьте разрешить планшету выходить в сеть в роуминге.

Юлия Михальчик сегодня

Все основное время певица проводит со своим сыном, которому в марте 2018 года исполнилось пять лет. В творческой биографии и личной жизни Юлии Михальчик пока затишье. Девушка ничего не говорит о том, хочет ли она еще детей и кто станет ее следующим мужем, не найти в интернете и новых фото с мужчинами. Зато она много гастролирует по стране со своей сольной программой.

Похудевшая Юлия в образе невесты

Время показало, что поклонников у яркой девушки нисколько не убавилось. Ее концерты проходят при полном аншлаге. А это значит, что Юля еще обязательно заявит о себе, и ее звезда вновь будет блистать на музыкальном Олимпе.

https://www.youtube.com/watch?v=EYtRUXRIWqI

 Загрузка ...

Что делать, если ваш маршрутизатор заражен

Если вы обнаружите, что на вашем маршрутизаторе есть вредоносное ПО, вот несколько простых шагов, которые необходимо предпринять, чтобы минимизировать ущерб.

Резервное копирование ваших данных и файлов

Прежде чем пытаться исправить ваш компьютер или удалить вредоносные программы, сделайте резервную копию ваших данных и файлов в облачном хранилище или на внешнем жестком диске.

Перезагрузите компьютер в безопасном режиме

Если вы получили ложное антивирусное сообщение и подозреваете, что на вашем маршрутизаторе установлено вредоносное ПО, выключите компьютер и перезапустите его в безопасном режиме, чтобы удалить любое подозрительное программное обеспечение.

Когда вы закончите, перезапустите в обычном режиме и проверьте, исчезли ли сообщения, а затем снова просканируйте компьютер, чтобы выявить все оставшиеся угрозы вредоносного ПО.

Защитите свой роутер и установите сильный антивирус

Это ваша первая линия защиты, поскольку она защищает ваши устройства в Интернете. Создайте надежный SSID (имя сети) и пароль и включите брандмауэр вашего маршрутизатора.

Вы также можете получить VPN (виртуальную частную сеть) для вашего дома или бизнеса, если вы хотите быть очень осторожными.

Измените ваши пароли

Если существуют учетные записи, которые были взломаны в результате атаки маршрутизатора, немедленно запросите сброс пароля и создайте более надежный. Вы также можете использовать двухфакторную аутентификацию для дополнительной безопасности.

Посмотрите внимательно на любые ссылки в ваших письмах, прежде чем нажимать на них. Если вы используете один пароль для нескольких учетных записей, измените их тоже. Безопасный менеджер паролей пригодится, если вы не можете управлять разными паролями для всех ваших учетных записей.

Другие шаги, которые вы можете предпринять, включают в себя:

Что известно на данный момент

Talos отметили следующие характеристики вредоносной программы VPNFilter. Троян обладает модульной многокомпонентной структурой. Модуль «первого этапа» обеспечивает устойчивое присутствие в зараженном устройстве. Вредонос способен «переживать» перезагрузку устройства, в отличие от многих других аналогичных программ.

Троян VPNFilter стремительно заразил 500 тыс. роутеров в 54 странах

Однако, удалить VPNFilter можно, сбросив устройство к заводским настройкам, который рекомендуется сделать всем владельцам названных роутеров. После сброса нужно обновить прошивку, сменить пароль и ограничить протоколы удаленного управления устройством.

Устойчивый C&C-механизм, обилие командных серверов страхует от неожиданных изменений в командной инфраструктуре. Модули «второго этапа» способны производить вывод данных, перехват файлов, локальное выполнение команд от операторов вредоноса, а также «убивать» прошивку устройства, делая его неработоспособным.

Модули «второго этапа» уничтожаются при перезагрузке устройства. Модули «третьего этапа» представляют собой плагины для компонентов второго этапа, расширяющие их функциональность. На данный момент известны анализатор траффика, способный перехватывать реквизиты доступа на различные сайты, и монитор протоколов Modbus SCADA.

Кампания по распространению VPNFilter началась не ранее 2016 г. Способы заражения устройств точно пока не известны, но, по предположению экспертов, в первую очередь жертвами становятся давно не обновлявшиеся сетевые устройства с прошивками, изобилующими неисправленными уязвимостями.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector