Вирусная эпидемия Trojan.Rbrute и способы борьбы

В данном разделе вы можете найти ответы на большинство вопросов, возникающих при покупке нового устройства
Goodwin
Модератор
Модератор
Сообщения: 3629
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение Goodwin » 26 май 2014, 13:19

Здравствуйте.
В связи с массовым распространением Trojan.Rbrute на компьютерах клиентов, всем владельцам ADSL-оборудования (и не только ADSL) мы рекомендуем проделать следующие шаги:

1. Изменить логин\пароль для входа на роутер.

Важно! Взлом нового пароля - это вопрос времени. Вирус использует математический подбор пароля, поэтому он всё равно будет взломан!
Не забудьте сообщить Вашим близким, что стандартный пароль на web-меню роутера был изменён.

2. Обновить прошивку ADSL-модема на самую последнюю. Страница загрузки прошивок.
Рекомендации по обновлению прошивки (firmware)

3. Обязательно проверить все компьютеры в вашей домашней сети современным антивирусом. Мы рекомендуем Др.Веб с самой актуальной антивирусной базой.

Прочитать подробнее о вирусе
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

Goodwin
Модератор
Модератор
Сообщения: 3629
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Re: Вирусная эпидемия Win32.Sector и способы борьбы

Сообщение Goodwin » 26 май 2014, 13:41

Если вы уже стали жертвой Trojan.Rbrute:

Симптомы:
- Индикатор Интернета горит, но Интернет не работает
- При попытке открыть сайты - открываются непонятные ресурсы
- ПК не получает IP-адреса (IP вида 169.254.ххх.ххх)


Как устранить проблему:

1. Сбросить настройки модема на заводские. Для этого при включённом питании удерживаете кнопку RESET 15-20 секунд (до тех пор, пока все индикаторы не загорятся и не погаснут).

2. Изменить логин\пароль web-меню роутера на другие значения. Делается это по инструкции

3. После этого выполняете настройку Интернета согласно пар-рам Вашего провайдера (VPI\VCI, логин и пароль). Пример настройки для Домолинк(Ростелеком)

4. После успешной настройки, мы также рекомендуем выполнить обновление встроенного ПО модема. Для этого для вашей аппаратной версии, нужно скачать последнюю прошивку.

5. Обязательно выполнить проверку и удаление вирусов со всех домашних компьютеров при помощи современного антивируса с самыми актуальными базами данных. Мы рекомендуем Др.Веб.
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

ProCyber
Сообщения: 1
Зарегистрирован: 20 май 2014, 12:09
Страна: Russia

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение ProCyber » 27 май 2014, 21:51

Когда примерно выйдет следующая версия встроенное ПО для модема TP-LINK TD-W8961ND V3 ?

tp_user
Сообщения: 1
Зарегистрирован: 27 май 2014, 22:15
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение tp_user » 27 май 2014, 22:28

Здравствуйте!
Планируется ли обновление прошивок для всех моделей ADSL модемов? Есть ли обходные пути для повышения защищенности модема при отсутствии свежей прошивки? В моем случае в разделе Download присутствует только первая и единственная прошивка от 2010 года.

Goodwin
Модератор
Модератор
Сообщения: 3629
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение Goodwin » 27 май 2014, 23:33

Для всех ныне выпускаемых модемов (включая 8961v3)обновление с "заплаткой" уже было выпущено.
Для снятых с производства моделей новых прошивок к сожалению не будет.
В качестве альтернативных методов защиты следует:
1. на веб-морду роутера сделать сложный пароль с использованием разного регистра и множества символов.
2. В настройках Interface Setup - LAN в поле DNS вручную прописать ДНС-сервера провайдера.
3. Использовать на всех ПК надёжный и популярный антивирус.
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

sergey004
Сообщения: 3
Зарегистрирован: 26 май 2014, 10:30
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение sergey004 » 02 июн 2014, 21:50

Проанализировав последние прошивки, увидел одно отличие, которое можно и старых прошивках включить и все. Попробовал, через Интернет в модем уже не попадаю.
Изображение

Goodwin
Модератор
Модератор
Сообщения: 3629
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение Goodwin » 03 июн 2014, 11:22

Сергей, атака идёт из локальной сети, а не извне.
Описание вируса
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

uolis
Сообщения: 5
Зарегистрирован: 01 мар 2014, 21:19
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение uolis » 03 июн 2014, 14:03

Goodwin писал(а):Для всех ныне выпускаемых модемов (включая 8961v3)обновление с "заплаткой" уже было выпущено.
Но там теперь бага - невозможно изменить адрес DHCP-сервера. Кнопка Сохранить на него не действует. Но если поставить Выключено у DHCP, то включить назад просто не получится. Можно поставить Релей и Выключено, эти позиции сохраняются. Включено не сохраняется.
Придётся опять откатываться к заводским настройкам, где включено 192.168.1.1, а очень хотелось бы иную сетку...

sergey004
Сообщения: 3
Зарегистрирован: 26 май 2014, 10:30
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение sergey004 » 03 июн 2014, 15:50

Goodwin писал(а):Сергей, атака идёт из локальной сети, а не извне.
Описание вируса
Судя по данной статье, может быть и из Интернета


Алжирский студент сообщил о наличии критических уязвимостей в маршрутизаторах TP-Link, поставляемых одним из главных интернет-провайдеров страны Algerie Telecom. По словам Абделли Нассереддин (Abdelli Nassereddine), бреши позволяют получить несанкционированный доступ к роутерам и раскрыть пользовательские пароли.

Как утверждает портал The Hacker News со ссылкой на Нассереддина, последний обнаружил, что брешь можно эксплуатировать через раздел обновления «Firmware/Romfile Upgrade» на панели управления, доступ к которой можно получить без пароля посредством перехода по адресу http://IP//rpFWUpload.html. Данная страница позволяет пользователю обновить прошивку маршрутизатора и скачать файл для резервного копирования Romfile.

Последний содержит пароль администратора, и его можно восстановить в виде обычного текста посредством реверс-инжиниринга с использованием online-сервиса (http://50.57.229.26/zynos.php). Для этого необходимо просто загрузить файл Romfile. Пароль маршрутизатора будет отображаться в первой строке файла:

Как утверждает Нассереддин, он протестировал принадлежащие Алжиру IP-адреса (41.107. x. x) и установил, что тысячи из них уязвимы к атакам. Так, посредством «Быстрого поиска» в системе SHODAN по запросу «RomPager country:dz» ему удалось обнаружить, что в стране используется более 259 тысяч маршрутизаторов, 95% из которых уязвимы.

Алжирский студент также опубликовал на GitHub PoC-код, способный сканировать полную подсеть уязвимых устройств и отобразить требуемые пароли.

Semen_alians
Сообщения: 3
Зарегистрирован: 10 фев 2014, 00:39
Страна: Ukrein

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение Semen_alians » 03 июн 2014, 21:49

Если у меня в разделе Безопасность / Локальное управление стоит управлять только с моего МАС-адреса, подвергаюсь ли я угрозе?

Закрыто

Вернуться в «ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ (FAQ)»