Vpnfilter - Príčiny a metódy odstránenia vírusu

Nový škodlivý program, známy ako Microtic VPNFilter, nedávno identifikovaný spoločnosťou Cisco Talos Intelligence Group, už nakazil viac ako 500 000 smerovačov a zariadení na ukladanie sietí (NAS), z ktorých mnohé sú k dispozícii malým podnikom a kanceláriám. To, čo tento vírus robí obzvlášť nebezpečným - má tak -zavolanú „konštantnú“ schopnosť ublížiť, čo znamená, že nezmizne iba preto, že smerovač bude reštartovaný.

Ako odstrániť vírusový v -Vpnfilter.

Čo je to vpnfilter

Podľa Symantec „Údaje zo Symantec Lure a Sensors ukazujú, že na rozdiel od iných hrozieb IoT sa zdá, že vírus VPNFilter sa skenuje a snaží sa infikovať všetky zraniteľné zariadenia po celom svete“. To znamená, že existuje určitá stratégia a účel infekcie. Ako potenciálne ciele sú zariadenia Symantec definované od Linksys, Mikrotik, Netgear, TP-Link a QNAP.

Takže, ako boli zariadenia infikované? Toto sú nevýhody v softvéri alebo hardvéri, ktoré vytvárajú určitý druh zadku, prostredníctvom ktorého môže útočník narušiť prevádzku zariadenia. Hackeri používajú štandardné názvy a predvolené heslá na infikovanie zariadení alebo na získanie prístupu prostredníctvom známej zraniteľnosti, ktoré by sa mali opraviť pomocou pravidelných aktualizácií softvéru alebo firmvéru. Je to rovnaký mechanizmus, ktorý v minulom roku viedol k hromadným poruchám z Equifaxu, a to je pravdepodobne najväčší zdroj kybernetickej voči!

Nie je tiež jasné, kto sú títo hackeri a aké ich úmysly. Existuje predpoklad, že sa plánuje veľký útok, vďaka ktorému bude infikované zariadenia zbytočné. Hrozba je taká rozsiahla, že nedávno ministerstvo spravodlivosti a FBI oznámili, že Súdny dvor sa rozhodol zabaviť zariadenia podozrivé z hackovania. Rozhodnutie súdu pomôže identifikovať zariadenia, porušovať schopnosť hackerov uniesť osobné a iné dôverné informácie a vykonať podvratné kybernetické útoky trójskeho koní vpnfilter.

Ako funguje vírus

VPNFilter používa veľmi zložitú metódu infekcie s dvom. Prvá fáza vírusu obsahuje reštart vášho smerovača alebo koncentrátora. Pretože škodlivý VPNFilter je primárne zameraný na smerovače, ako aj ďalšie zariadenia týkajúce sa internetu, ako aj malware v Mirai, môže sa to stať v dôsledku automatického útoku na botanickú sieť, ktorá nie je implementovaná v dôsledku Úspešný kompromis centrálnych serverov. Infekcia sa vyskytuje pomocou využívania, ktorá spôsobuje reštart inteligentného zariadenia. Hlavným cieľom tejto fázy je získať čiastočnú kontrolu a umožniť nasadenie 2. stupňa po ukončení procesu nabíjania. Fázy prvej fázy nasledovne:

1. Odovzdáva fotografiu z Photobucket.
2. Spúšťajú sa prieskumníci a metadáta sa používa na volanie adresy IP.
3. Vírus je pripojený k serveru a načíta škodlivý program, po ktorom ho automaticky vykoná.

Podľa výskumných pracovníkov sú ako samostatné adresy URL s prvou fázou infekcie knižnice falošných používateľov fotografických objektov:

• Com/user/nikkireed11/knižnica
• Com/user/kmila302/knižnica
• Com/user/lisabraun87/knižnica
• Com/user/eva_green1/knižnica
• Com/user/monicabelci4/knižnica
• Com/user/katyperry45/knižnica
• Com/user/Saragray1/knižnica
• Com/user/Millerfred/Library
• Com/user/jenifraniston1/knižnica
• Com/user/amandaseyyfreed1/knižnica
• Com/user/suwe8/knižnica
• Com/user/bob7301/knižnica

Hneď po spustení druhej fázy infekcie sa skutočné schopnosti škodlivého VPNFilter stanú rozsiahlejšími. Zahŕňajú použitie vírusu v nasledujúcich akciách:

• Pripája sa k serveru C&C.
• Vykonáva Tor, P.S. a ďalšie doplnky.
• Vykonáva škodlivé akcie, ktoré zahŕňajú zber údajov, príkazy, úložisko úložiska, správu zariadení.
• Schopný vykonávať samonosné činnosti.

Spojené s druhou fázou infekcie IP adresy:

• 121.109.209
• 12.202.40
• 242.222.68
• 118.242.124
• 151.209.33
• 79.179.14
• 214.203.144
• 211.198.231
• 154.180.60
• 149.250.54
• 200.13.76
• 185.80.82
• 210.180.229

Okrem týchto dvoch etáp, vedci z kybernetickej bezpečnosti v spoločnosti Cisco Talos tiež uviedli server 3. etapy, ktorého účelom je stále neznámy.

Zraniteľné smerovače

Nie každý smerovač môže trpieť vpnfilterom. Symantec podrobne popisuje, ktoré smerovače sú zraniteľné. Doteraz je VPNFilter schopný infikovať smerovače Linksys, Mikrotik, NetGear a TP-Link, ako aj QNAP s sieťovým pripojením (NAS). Tie obsahujú:

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik Router (pre smerovače s cloudovým jadrom verzie 1016, 1036 a 1072)
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• NetGear WNR1000
• NetGear WNR2000
• QNAP TS251
• QNAP TS439 PRO
• Ostatné zariadenia NAS QNAP so softvérom QTS
• TP-Link R600VPN

Ak máte niektoré z vyššie uvedených zariadení, skontrolujte aktualizáciu a tipy na odstránenie VPNFilter na stránke podpory vášho výrobcu a tipy na odstránenie VPNFilter. Väčšina výrobcov už má aktualizáciu firmvéru, ktorá by vás mala plne chrániť pred vektormi útočníkov VPNFilter.

Ako zistiť, že smerovač je infikovaný

Nie je možné určiť stupeň infekcie smerovača aj pomocou antivírusu Kasperského. Itshnov všetkých popredných svetových spoločností tento problém ešte nevyriešili. Jediné odporúčania, ktoré teraz môžu navrhnúť, je resetovať zariadenie na továrenské nastavenia.

Bude Router Retboot pomôže zbaviť sa infekcie vpnfilter

Odstránenie smerovača pomôže zabrániť vývoju vírusu iba prvých dvoch etáp. Stále zostane stopami škodlivého softvéru, ktorý postupne infikuje smerovač. Rese reset zariadenia na továrenské nastavenia pomôže vyriešiť problém.

Ako odstrániť VPNFilter a chrániť váš smerovač alebo NAS

V súlade s odporúčaniami spoločnosti Symantec je potrebné reštartovať zariadenie a potom okamžite použiť všetky akcie potrebné na aktualizáciu a blikanie. Znie to jednoducho, ale opäť nedostatok neustálej aktualizácie softvéru a firmvéru je najbežnejšou príčinou Cybercus. Netgear tiež odporúča používateľom svojich zariadení, aby odpojili všetky príležitosti na diaľkové ovládanie. Linksys odporúča reštartovať svoje zariadenia najmenej raz za pár dní.

Jednoduché čistenie a reset vášho smerovača nie vždy úplne eliminuje problém, pretože škodlivý softvér môže predstavovať zložitú hrozbu, ktorá môže hlboko zasiahnuť objekty firmvéru pre váš smerovač. Preto prvým krokom je skontrolovať, či vaša sieť bola vystavená riziku tohto škodlivého programu. Vedci spoločnosti Cisco to dôrazne odporúčajú vykonaním nasledujúcich krokov:

1. Vytvorte novú skupinu hostiteľov s názvom „Vpnfilter C2“ a urobte ju na umiestnenie pod vonkajšími hostiteľmi prostredníctvom používateľského rozhrania Java.
2. Potom potvrďte, že skupina vymieňa údaje kontrola „kontaktov“ skupiny samotnej vo vašom zariadení.
3. Ak neexistuje aktívna prevádzka, vedci odporučujú správcom siete, aby vytvorili typ vypnutia signálu, že vytvorením udalosti a výberom hostiteľa vo webovom rozhraní používateľa upozorní hneď po tom, čo dôjde k prenosu v hostiteľskej skupine.

Práve teraz musíte reštartovať smerovač. Ak to chcete urobiť, jednoducho ho vypnite zo zdroja napájania po dobu 30 sekúnd a potom ho pripojte späť.

Ďalším krokom bude reset nastavení smerovača. Informácie o tom, ako to urobiť, nájdete v príručke v krabici alebo na webovej stránke výrobcu. Keď znova načítate smerovač, musíte sa uistiť, že jeho verzia firmvéru je posledná. Opäť kontaktujte dokumentáciu pripojenú k smerovaču a zistite, ako ju aktualizovať.

Nikdy nepoužívajte internet bez silného firewall. Rizikom serverov FTP, serverov NAS, serverov Plex. Nikdy nenechávajte vzdialenú správu zahrnutej. To môže byť vhodné, ak ste často ďaleko od svojej siete, ale je to potenciálna zraniteľnosť, ktorú môže použiť každý hacker. Vždy dajte na krok s najnovšími udalosťami. To znamená, že musíte pravidelne kontrolovať nový firmvér a preinštalovať ho, keď sa vydajú aktualizácie.

Či je potrebné upustiť nastavenia smerovača, ak v zozname chýba moje zariadenie

Databáza rizikových smerovačov sa obnovuje denne, takže rastrové prepustenie sa musí pravidelne vykonávať. Ako aj skontrolujte aktualizácie firmvéru na webovej stránke výrobcu a monitorujte jeho blog alebo správy v sociálnych sieťach.