Чтобы защититься от трояна Trojan.Rbrute, поражающих модемы/маршрутизаторы фирмы TP-link нужно выполнять несколько простых условий. Вирус распространяется перебором сканированием IP-адресов по n-ому диапазону, после чего начинается подбор пароля методом brutforce. Атаке подвержены практически все популярные модели роутеров Tp-link. Пробираясь в настройки устройства троян меняет адреса DNS провайдера на адреса злоумышленников.
Ваш роутер заражен, если:
При попытке выйти на любой сайт, будь-то remont-sro.ru или сервис Gmail.com открывается сайт загрузки фейкового Google Chrome или другие подозрительные ресурсы. Изначально редирект работал только для запросов пользователя, содержащие слова Facebook или Google, но теперь троян реагирует на любой из них. Индикация на модеме остается прежней, «Интернет» горит стабильно, компьютер показывает, что подключение выполнено, авторизация пройдена, но сам интернет не работает, а лишь перебрасывает на рекламные и/или фейковые страницы загрузок
Пункт 1. Reset. Перенастройка модема
Инструкцию подготовил специалист ГТП ЦОО Корчагина Мария
Если вы не можете зайти в настройки модема через 192.168.1.1, то попробуйте сделать это через адрес 192.168.42.1
На данной странице настройки указаны только для услуги Интернет. Для настройки IP-TV и WI-FI скачайте полный мануалы
Русская версия - http://yadi.sk/d/JC6l6FPVRbU9P
Английская версия - http://yadi.sk/d/j6Ly7bA4RbU8r
1. Чтобы правильно сбросить настройки на модеме следует зажать иголкой/пастой/зубочисткой кнопку Reset в небольшом углублении. Держим от 5 до 15 секунд до исчезновения индикации на устройстве. Лампочки должны погаснуть так, как после обычной перезагрузки роутера
2. Для настройки модем следует подключать кабелем в любой LAN-порт, не проводите настройку посредством Wi-Fi соединения.
3. Зайдите через браузер Internet Explorer в интерфейс роутера, по адресу: 192.168.1.1. Откроется диалоговое окно. В полях «Имя пользователя» и «Пароль» введите соответственно admin/admin. Откроется стартовая страница роутера (см. ниже)
На этой странице вы увидите, какие настройки уже существуют:
4. Перед тем как приступить к настройке маршрутизатора, необходимо удалить все ранее созданные настройки, для этого нужно перейти в раздел «Настройка интерфейса» -> «Интернет» , выбираем «Виртуальный канал» - PVC0, внизу страницы нажимаем кнопку «удалить». Так проделываем с каждым виртуальным каналом (их всего 8).
В итоге вот, что должно получиться (снова перейдите в раздел «Состояние» ):
5. Теперь перейдите в раздел «Настройка интерфейса»
, затем выберете подраздел «Интернет»
(см. скриншоте ниже). Указываем параметры как на скриншоте ниже (пользователь и пароль: rtk), затем сохраняем все параметры, нажав кнопку «Сохранить».
На этом настройка в режим PPPoE закончилась.
Пункт 2. Смена пароля на вход в маршрутизатор
Для того чтобы сменить пароль, перейдите в раздел «Эксплуатация устройства» , затем «Администрирование» , где собственно и меняется пароль на вход в маршрутизатор (придумать сложный пароль) (см. скриншот ниже). После чего нажать кнопку «Сохранить»
Пункт 2.5 Список паролей, которые не рекомендуется ставить на вход в маршрутизатор
111111
12345
123456
12345678
abc123
admin
Administrator
password
qwerty
root
tadpassword
trustno1
consumer
dragon
gizmodo
iqrquksm
letmein
Все эти пароли вирус уже «знает» и подбор пароля займет 1 секунду. Пароль следует ставить не только из одних цифр или букв. ОБЯЗАТЕЛЬНО должны присутствовать спец.символы (решетки. звездочки, проценты, кавычки) и буквы различного регистра (заглавные и строчные). Чем больше и разнообразней пароль, тем дольше его придется «брутить» (если вообще удастся).
Пункт 3. Ограничиваем доступ к модему к WAN-порту.
1. Заходим в настройки модема и ищем меню «Управление доступом» и выставляем параметры, как на скрине ниже:
2. В результате должна добавиться строка с параметрами (см. рисунок ниже):
Тоже самое для АНГЛИЙСКОЙ версии:
Пункт 4. Настройка LAN (DHCP + DNS)
Пока непонятно как проникает этот вирус на компьютер, но последствия заражения таковы, что доступ в Интернет закрыт всем программам (Браузеры, ICQ/Mail Агент клиенты), которые используют настройки DNS в свойствах сетевого адаптера.
Кстати программа Skype единственная, которая продолжает работать! Исходя из этого, можно сразу предположить, что физически устройства работают нормально и дело вероятно в настройках соединения.
И так, если выше описанная ситуация аналогична вашей, то первым делом необходимо проверить настройки сети и удостоверится в изменении их вирусом.
1. Запустите командную строку и введите команду ipconfig /all
2. В настройках протокола IP для Windows, выведенных на экран найдите адаптер, через который вы выходите в Интернет. Если в свойствах DNS-серверы стоит: 127.0.0.1 , то значить вирус или кривые руки изменили существующие настройки.
Теперь необходимо изменить настройки сетевого адаптера, через который происходит подключение. Если Вы используете несколько способов выхода в Интернет (Wi-Fi, Сеть) то эти действия необходимо повторить для каждого адаптера (сетевого устройства).
3. Нажимаете кнопку Пуск – Панель управление – Центр управления сетями и общим доступом и нажимаете “Изменение параметров адаптера ”.
4. Выбираете подключенный к Интернету адаптер и правой клавишей мышки щелкаете на нем, затем выбираете “Свойства ”.
5. В запустившемся окне на вкладке “Сеть” выбираете “Протокол Интернета версии 4 (TCP/IPv4) ” и нажимате кнопку “Свойства ”.
6. Поставьте галочку напротив “Получить адрес DNS-сервера автоматически ” и нажмите кнопку “ОК ”.
7. После изменения настроек попробуйте выйти в Интернет, (в некоторых случаях требуется перезагрузить компьютер). После получения доступа в Интернет, первым делом скачайте антивирусную программу Dr.Web CureIt! и проведите самую полную очистку.
Также посмотрите и отключите в автозагрузке подозрительные программы и утилиты утилитой Starter. Рекомендую почистить временные папки от файлов и реестр от ошибок утилитой CCleaner.
Как удалить «рекламный» вирус DNS Unlocker? У вас появились проблемы с вирусом, который меняет домашнюю страницу, отображает рекламу в браузере и изменяет DNS-адрес подключения к Интернет? Мы покажем, как удалить его вручную — шаг за шагом.
DNS Unlocker крайне раздражающая программа типа Adware, мало того, что выводит рекламу и значительно затрудняет пользование браузером, но и ещё изменяет настройки интернет подключения и адреса DNS в параметрах сетевой карты. Его тяжело проигнорировать, и оставлять в компьютере небезопасно, так как может навредить системе Windows. Итак, как от него избавится и где его искать на диске.
Внимание! Рекомендуем выполнить все шаги, потому что если останется хоть одна запить о DNS Unlocker, то после перезагрузки компьютера вирус снова распространится в системе Windows. Даже если он не отобразился в некоторых местах, описанных в последующих шагах, то обязательно нужно перепроверить его присутствие программой MalwareBytes AntiMalware. Пропуск некоторых шагов приведет к тому, что вирус быстро распространится, поэтому перед перезагрузкой компьютера нужно убедится что все ссылки на него были удалены.
Перед тем как приступить к лечению следует закрыть все браузеры.
Начнем с самого простого способа – удаления DNS Unlocker из Панели управления. Переходим в меню Пуск и запускаем Панель управления (если у вас Windows 8.1 / 10, то найти её можно через строку поиска). Затем перейдите в раздел Программы>Удаление программ.
Немного подождите пока откроется список всех программ, установленных на вашем компьютере. Найдите в списке строку с DNS Unlocker, выделите её и нажмите кнопку «Удалить».
DNS Unlocker не такое уж и простое вредоносное ПО, которое только меняет домашнюю страницу в браузере. Этот вирус также вносит свои коррективы в параметры подключения к Интернет, а именно в настройках сетевой карты изменяет адреса серверов DNS. Их нужно удалить вручную.
Откройте Панель управления, затем перейдите в раздел «Центра управления сетями и общим доступом». В этом разделе выберите в боковом меню с левой стороны пункт «Изменение параметров адаптера». Здесь отображаются все сетевые подключения, установленные на компьютере. Обычно в этом окне найдете два ярлыка – Ethernet(подключение по сетевому кабелю) и карту Wi-Fi.
Нажмите на сетевую карту, которая соединяет компьютер с интернетом правой кнопкой мыши и выберите «Свойства». В списке протоколов сетевой карты ищем пункт «Протокол интернета в версии 4 TCP/IPv4». Выделяем его и нажимаем на кнопку «Свойства».
В новом окне найдите секцию, отвечающую за адреса серверов DNS (в нижней части). Как правило, DNS Unlocker меняет DNS-адреса на следующее:
82.163.143.172
82.163.142.174
Если здесь проставлены эти адреса, то нужно их удалить. Не закрываем это окно. Нажимаем на кнопку «Дополнительно» и переходим на вкладку DNS.
Также нужно проверить, прописаны ли какие-либо ещё адреса DNS. Здесь может быть кроме прочих находиться адрес провайдера, поэтому перед удалением запишите их в блокнот, если не уверены какой из них отвечает за соединение с интернет. Если адресов DNS нет, возвращаемся в предыдущее окно и устанавливаем флажок «Получить адрес DNS-сервера автоматически» и подтверждаем изменение кнопкой «ОК».
DNS Unlocker может внести свои записи в системный реестр Windows. Поэтому его нужно обязательно проверить. Для этого нажмите комбинацию клавиш Windows + R, затем в открывшемся окне введите команду regedit, чтобы войти в редактор реестра.
В основном меню редактора перейдите на вкладку «Правка», а затем «Найти». Введите в окно поиска «dns unlocker» или просто часть этой комбинации слов, например, «unlocker». Если в результате поиска обнаружаться записи явно указывающие на DNS Unlocker – удалите их. Продолжите поиск до конца через F3 или «Найти далее». После закройте редактор реестра.
Чаще всего вредоносное ПО типа Adware изменяет ярлыки браузеров. В этом случае, DNS Unlocker ничего подобного не делает, но прежде чем запустить браузер, всё-таки стоит это проверить. Бывают случаи, что с помощью этого вируса, кроме рекламы ads by DNS Unlocker может внедрится другой «вредитель».
Кликните правой кнопкой мыши на ярлык браузера на рабочем столе, а затем перейдите к свойствам. Если ярлык прикреплён к Панели задач Windows перед нажатие правой кнопкой мыши удерживайте нажатую клавишу Shift на клавиатуре.
В свойствах ярлыка браузера обратите внимание на поле «Объект». Запись должна заканчиваться файлом «.exe». Если всё же там что-то дописано (например, адрес интернет страницы или какой-то код), то это обязательно нужно удалить. Чтобы подтвердить изменения нажмите на «ОК». Браузер не запускайте, пока не пройдете все шаги.
Его присутствие в браузере можно определить по подписи в блоках рекламы ads by DNS Unlocker.
В этом шаге нужно очистить все изменения, которые мог внести DNS Unlocker в настройки браузера. Покажем как это сделать в браузерах Chrome, Firefox и Internet Explorer.
Запустите свой браузер, а затем в адресную строку введите:
chrome://net-internals/#dns
На экране появится страница с настройками DNS. Напротив пункта «Host resolver cache» нажмите на «Clear host cache». Затем нажмите на CTRL + H, чтобы перейти в историю просмотров. Нажмите на кнопку «Очистить историю просмотров» и удалите её за всё время (снимите только галку с опции «Пароли», чтобы не удалить сохранённые пароли).
В браузере Firefox кликните на кнопку с тремя черточками, а затем перейдите в Настройки. В настройках перейдите на вкладку «Приватность» и нажмите кнопку «очистить вашу недавнюю историю». В диапазоне времени выберите «Всё», а затем в Подробностях отметьте все элементы.
Запустите браузер IE, а затем меню «Сервис» в верхнем правом углу выберите «Свойства обозревателя». На вкладке «Общие» найдите секцию «История просмотра», затем нажмите «Удалить» и отметьте все, кроме «Пароль» и «Данные веб-форм». Подтвердите удаление, нажав кнопку «Удалить».
После очистки браузеров вручную всё должно быть в полном порядке и ads by DNS Unlocker больше не появится на вашем компьютере. Если хотите убедиться, что вирус полностью удалён, запустите для сканирования компьютера программу MalwareBytes AntiMalware.
Предназначен для того, чтобы защищать вашу домашнюю сеть от вирусов, мошенников и хакерских атак. После нехитрой настройки вы сможете надежно экранировать свой роутер и все устройства при выходе в Интернет.
Мы привыкли, что DNS-сервер - это что-то на стороне провайдера или хостинга. Он помогает Интернету работать: преобразует имена сайтов в IP-адреса и обратно, чтобы мы могли их открывать, пользуясь осмысленными адресами: www.сайт , а не91.109.202.65. Между тем, компания Яндекс предлагает «бытовое» применение для DNS.
При желании вы можете подключить свой домашний роутер, ПК или любое другое устройство к одному из бесплатных DNS-серверов Яндекса. Тогда он будет не только преобразовывать для вас адреса сайтов, но и фильтровать трафик, чтобы защищать ваш домашний ПК и смартфоны от угроз извне и нежелательного контента.
У компании Яндекс более 80 DNS-серверов по всей России, Европе и СНГ. В последнее время щедрый Яндекс предлагает бесплатно пользоваться своими DNS-адресами. Все, что для этого нужно - настроить соединение с ними на маршрутизаторе, ПК или мобильном девайсе.
У Яндекса есть три бесплатных DNS - «Базовый», «Безопасный» и «Семейный». Прописав адрес любого из них на роутере или любом устройстве, с которого вы выходите в сеть, вы получите живой «щит» между вами и Интернетом. Они различаются по функциональности.
«Базовый» DNS работает в самом простом режиме, как обычный DNS-сервер. К нему есть смысл подключиться, если вы хотите, например, убрать ограничения своего подключения по скорости соединения и трафику.
«Безопасный» DNS не позволит вредоносным программам просочиться на ваш компьютер. Если вы подключитесь к нему, Яндекс будет блокировать попытки вирусов проникнуть на ваше устройство за счет собственного антивируса с использованием сигнатур Sophos. Кроме того, если у вас на компьютере уже давно тайно «живет» вирус, Яндекс перекроет ему кислород, не позволяя соединяться с серверами злоумышленников для рассылки спама, взлома паролей или проведения атак.
Наконец, «Семейный» DNS имеет ту же функциональность, что и «безопасный», но при еще и этом блокирует сайты и рекламу с эротическим контентом, чтобы ее не посмотрели ваши дети. Кстати, блокирует на убой: даже если вы сами захотите тайком побаловаться нехорошим контентом, ничего не выйдет - настройки исключений нет. И очень строго выбирает контент для блокирования: так, известная энциклопедия отечественных мемов для Яндекса - все равно что порнография.
Нажмите ОК и переподключитесь к сети.
Если у вас есть WiFi-роутер, через который к Интернету подключаются все ваши устройства - компьютеры, ноутбуки, планшеты, смартфоны, смарт-телевизоры и прочее - то разумнее будет настроить DNS для всей сети разом.
Если ваш маршрутизатор выпущен производителем Asus , D-Link , Zyxel , Netis или Upvel , то вы можете скачать для него целую прошивку с предустановленным Яндекс.DNS. Для этого поищите производителя своего WiFi-роутера в списке внизу страницы сервиса. По нажатию на его название откроется подробная инструкция по настройке, где также есть ссылки на прошивки.
Если же у вас маршрутизатор другой фирмы, нажмите на ссылку У меня другой роутер и следуйте указаниям.
Как настроить Яндекс.DNS на смартфоне или планшете?
Инструкции по настройке различных девайсов на Android и iOS можно найти на главной странице Яндекс.DNS. Нажмите на Устройство и выберите тип вашего устройства и его операционную систему, а дальше следуйте инструкции.
Аналогичным образом можно настроить Яндекс.DNS для компьютеров под Linux или Mac OS.
Яндекс - не пионер в области бесплатных DNS. В качестве альтернативы вы также можете попробовать
Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась.
Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался.
Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона - открывалась настоящая версия. Вывод был только один - заражен роутер.
Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.
Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin . Как вы думаете, что произошло?
Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.
Оформлена админка была со вкусом
(эти игрушечки сверху шевелились, когда на них наводишь крыской, и издавали звук (и это была не флешка))
VK ~72000
OK ~45000
QIWI ~9000
BTC - 5
Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.
В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.
Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.
