Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась.
Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался.
Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона - открывалась настоящая версия. Вывод был только один - заражен роутер.
Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.
Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin . Как вы думаете, что произошло?
Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.
Оформлена админка была со вкусом
(эти игрушечки сверху шевелились, когда на них наводишь крыской, и издавали звук (и это была не флешка))
VK ~72000
OK ~45000
QIWI ~9000
BTC - 5
Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.
В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.
Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.
Предназначен для того, чтобы защищать вашу домашнюю сеть от вирусов, мошенников и хакерских атак. После нехитрой настройки вы сможете надежно экранировать свой роутер и все устройства при выходе в Интернет.
Мы привыкли, что DNS-сервер - это что-то на стороне провайдера или хостинга. Он помогает Интернету работать: преобразует имена сайтов в IP-адреса и обратно, чтобы мы могли их открывать, пользуясь осмысленными адресами: www.сайт , а не91.109.202.65. Между тем, компания Яндекс предлагает «бытовое» применение для DNS.
При желании вы можете подключить свой домашний роутер, ПК или любое другое устройство к одному из бесплатных DNS-серверов Яндекса. Тогда он будет не только преобразовывать для вас адреса сайтов, но и фильтровать трафик, чтобы защищать ваш домашний ПК и смартфоны от угроз извне и нежелательного контента.
У компании Яндекс более 80 DNS-серверов по всей России, Европе и СНГ. В последнее время щедрый Яндекс предлагает бесплатно пользоваться своими DNS-адресами. Все, что для этого нужно - настроить соединение с ними на маршрутизаторе, ПК или мобильном девайсе.
У Яндекса есть три бесплатных DNS - «Базовый», «Безопасный» и «Семейный». Прописав адрес любого из них на роутере или любом устройстве, с которого вы выходите в сеть, вы получите живой «щит» между вами и Интернетом. Они различаются по функциональности.
«Базовый» DNS работает в самом простом режиме, как обычный DNS-сервер. К нему есть смысл подключиться, если вы хотите, например, убрать ограничения своего подключения по скорости соединения и трафику.
«Безопасный» DNS не позволит вредоносным программам просочиться на ваш компьютер. Если вы подключитесь к нему, Яндекс будет блокировать попытки вирусов проникнуть на ваше устройство за счет собственного антивируса с использованием сигнатур Sophos. Кроме того, если у вас на компьютере уже давно тайно «живет» вирус, Яндекс перекроет ему кислород, не позволяя соединяться с серверами злоумышленников для рассылки спама, взлома паролей или проведения атак.
Наконец, «Семейный» DNS имеет ту же функциональность, что и «безопасный», но при еще и этом блокирует сайты и рекламу с эротическим контентом, чтобы ее не посмотрели ваши дети. Кстати, блокирует на убой: даже если вы сами захотите тайком побаловаться нехорошим контентом, ничего не выйдет - настройки исключений нет. И очень строго выбирает контент для блокирования: так, известная энциклопедия отечественных мемов для Яндекса - все равно что порнография.
Нажмите ОК и переподключитесь к сети.
Если у вас есть WiFi-роутер, через который к Интернету подключаются все ваши устройства - компьютеры, ноутбуки, планшеты, смартфоны, смарт-телевизоры и прочее - то разумнее будет настроить DNS для всей сети разом.
Если ваш маршрутизатор выпущен производителем Asus , D-Link , Zyxel , Netis или Upvel , то вы можете скачать для него целую прошивку с предустановленным Яндекс.DNS. Для этого поищите производителя своего WiFi-роутера в списке внизу страницы сервиса. По нажатию на его название откроется подробная инструкция по настройке, где также есть ссылки на прошивки.
Если же у вас маршрутизатор другой фирмы, нажмите на ссылку У меня другой роутер и следуйте указаниям.
Как настроить Яндекс.DNS на смартфоне или планшете?
Инструкции по настройке различных девайсов на Android и iOS можно найти на главной странице Яндекс.DNS. Нажмите на Устройство и выберите тип вашего устройства и его операционную систему, а дальше следуйте инструкции.
Аналогичным образом можно настроить Яндекс.DNS для компьютеров под Linux или Mac OS.
Яндекс - не пионер в области бесплатных DNS. В качестве альтернативы вы также можете попробовать
Пока непонятно как проникает этот вирус на компьютер, но последствия заражения таковы, что доступ в Интернет закрыт всем программам (Браузеры, ICQ/Mail Агент клиенты), которые используют настройки DNS в свойствах сетевого адаптера.
Кстати программа Skype единственная, которая продолжает работать! Исходя из этого, можно сразу предположить, что физически устройства работают нормально и дело вероятно в настройках соединения.
И так, если выше описанная ситуация аналогична вашей, то первым делом необходимо проверить настройки сети и удостоверится в изменении их вирусом.
1. Запустите командную строку и введите команду ipconfig /all
2. В настройках протокола IP для Windows, выведенных на экран найдите адаптер, через который вы выходите в Интернет. Если в свойствах DNS-серверы стоит: 127.0.0.1 , то значить вирус или кривые руки изменили существующие настройки.
Теперь необходимо изменить настройки сетевого адаптера, через который происходит подключение. Если Вы используете несколько способов выхода в Интернет (Wi-Fi, Сеть) то эти действия необходимо повторить для каждого адаптера (сетевого устройства).
3. Нажимаете кнопку Пуск – Панель управление – Центр управления сетями и общим доступом и нажимаете “Изменение параметров адаптера ”.
4. Выбираете подключенный к Интернету адаптер и правой клавишей мышки щелкаете на нем, затем выбираете “Свойства ”.
5. В запустившемся окне на вкладке “Сеть” выбираете “Протокол Интернета версии 4 (TCP/IPv4) ” и нажимате кнопку “Свойства ”.
6. Поставьте галочку напротив “Получить адрес DNS-сервера автоматически ” и нажмите кнопку “ОК ”.
7. После изменения настроек попробуйте выйти в Интернет, (в некоторых случаях требуется перезагрузить компьютер). После получения доступа в Интернет, первым делом скачайте антивирусную программу Dr.Web CureIt! и проведите самую полную очистку.
Также посмотрите и отключите в автозагрузке подозрительные программы и утилиты утилитой Starter. Рекомендую почистить временные папки от файлов и реестр от ошибок утилитой CCleaner.
Ранее мы писали о подмене DNS, вследствие чего на компьютере появлялась реклама и баннеры-вымогатели. В ряде случаев, DNS-сервера были изменены не только в Windows, но и на роутере. Если выражаться технически корректно, то подмена ДНС — это конечно же не вирус в классическом смысле слова, а вредоносная настройка, которая тем не менее приносит немало неудобств.
ДНС сервер отвечает за сопоставление доменных имен с IP-адресами. Мошеннические DNS-серверы способны сопоставлять имя любого порядочного сайта с другим — неверным адресом, и загружать подменное содержимое вместо подлинного. Если прописать такие «неправильные» ДНС на роутере, то все устройства, подключенные к нему, будут в опасности.
Выглядит это так. Во время просмотра сайтов вдруг открывается страница с предложением обновить флеш-плеер, java, установить бесплатный антивирус, скачать программу якобы для ускорения работы и оптимизации ПК или любую другую на первый взгляд безобидную вещь. Немаловажно, что при этом в адресной строке может отображаться имя знакомого и проверенного сайта. Если пользователь скачает и запустит предложенный файл, то скорее всего в скором будущем у него начнутся большие проблемы с ПК:
При этом, как правило, снижается быстродействие ПК, идут постоянные обращения к жесткому диску, загрузка процессора достигает 100% в состоянии простоя.
Как правило, вначале происходит заражение одного из компьютеров в локальной сети. Вирус проникает на компьютер при скачивании какого-либо файла из Интернета. Затем, он посылает запросы на стандартные для сетевого оборудования адреса, может сканировать файлы cookies, скачивать вспомогательное вредоносное ПО (троян) и в результате попадает в настройки роутера или ADSL-модема.
Вирусы и трояны могут изменить настройки маршрутизатора (в частности, подменить DNS), если:
1. Для входа на веб-интерфейс используются стандартные реквизиты — IP, логин и пароль (например, 192.168.1.1, admin/admin)
2. Адрес, логин и пароль роутера сохранены в браузере.
(могут встречаться как все вместе, так и отдельные признаки)
1. На устройствах, которые подключены к маршрутизатору, выскакивает реклама, в браузерах самостоятельно открываются левые вкладки/всплывающие окна, может появиться баннер-вымогатель на весь экран.
2. Часть сайтов не открывается. Вместо них отображаются веб-страницы со странным содержимым либо ошибка «404».
3. Нет доступа к Интернету, хотя индикатор WAN/Internet светится.
4. Компьютер получает IP-адрес из диапазона 169.254.*.*
Зайдите на сайт производителя, введите свою модель, и скачайте самую свежую прошивку. Читайте на примере оборудования TP-Link.
Не все маршрутизаторы позволяют изменить логин. Но если вы установите сложный пароль, этого будет достаточно.
Даже не сомневайтесь, что первым делом вирус-взломщик роутеров будет обращаться к самым популярным адресам: 192.168.0.1 и 192.168.1.1. Поэтому мы вам советуем изменить третий и четвертый октет локального IP-адреса в настройках LAN. Задайте например:
192.168.83.254
После этого все устройства в сети будут получать IP из диапазона 192.168.83.*
После изменения локального IP роутера, для входа на веб-интерфейс нужно будет вводить http://[новый адрес]
Даже если вредоносное ПО проникнет на компьютер, оно будет нейтрализовано и не успеет заразить роутер.
Думаю, вы в состоянии запомнить пароль от веб-интерфейса маршрутизатора. Или как минимум его записать на бумаге.