Взлом страницы Вконтакте. Вирус Redyms-D

[Tilerson]

Добрый день!

У меня сложилась следующая ситуация, недели три подряд не мог зайти на свою станицу вконтакте, всё время страница никак не принимала контактные данные, с надписью, если вы уверены, что всё точно, кликните сюда, сначала думал само пройдёт, но доступа на страницу не было, пришлось кликнуть по ссылке и иннициировать восстановление пароля.
 
Благодаря телефону, сделать это удалось. Страницу было не узнать, пошлые надписи и картинки непристойного вида, разные угрозы, стало ясно взломали. И хотя доступ с трудом был получен, злоумышленники разладили всё что смогли, разные настройки конфидециальности и массово добавились в друзья, в последних входах остались их ip. Как потом сообщила на запрос о случившемся взломе служба поддержки вконтакте, что скорее всего это вирус. Но чуть позже при детальном изучении всего содержимого страницы версия целенаправленного взлома стала более очевидной (возможно с целью заражения).
 
Те что добавились сами в друзья изрядно наследили- вот их ip
 
93.170.130.196 - как оказалось числится за хостингом Adman.com

• person: Sergey E Ivanov
• address: Russia, Novosibirsk
• address: Nemirovicha-Danchenko 165, 101
• e-mail: support@adman.com
• phone: +73833750128
• fax-no: +73833750128
• notify: support@adman.com

93.88.77.199 - второй за хостингом Rackstore.ru

• address: Moscow, Russia
• address: 117485, Butlerova st. 7
• e-mail: alexander@rackstore.ru

194.31.59.116 - третий за малоизвестным хостингом HostBar Ltd - Россия, Воронежская обл., Воронеж, провайдером которого судя по информации [/size]http://1whois.ru/world/RU/Воронежская%20обл/Воронеж/HostBar%20Ltd  является Selectel.ru [/size]-- вконтакте определил его как - Кемерово

• notify: ki.dubin@yandex.ru
• created: 2012-01-23T16:11:43Z
• last-modified: 2018-03-12T14:18:34Z

• person: Maxim Golochalov
• address: 394036, Voronej, ulica Kirova, dom 4, ofis 501
• phone: +7 926 143-62-79 

Взлом страницы был осуществлён 25 мая 2018 года, можно было бы конечно провайдерам, если они конечно провайдеры законопослушные отследить, кто по документам 25 мая 2018 арендовал сервера с данными ip, тогда стало бы ясно кто злоумышленник, если конечно провайдер сам не в сговоре и не прикрывает кого то своего, всё бывает.. удивляться уже ничему не приходится.
 
А вот те кто добавился в друзья
 
vk.com/id373653666   Артём Журавов
vk.com/id443621740   Максим Воротников
vk.com/psspr          Gagas Gagoyan      vk.com/id249089534
vk.com/id400485111    Gurgen Martirosyan
vk.com/id439953747   Сергей Позняк
vk.com/id450777499   Денис Панфилов
vk.com/justlooney    Никита Николаев      vk.com/id456321778
vk.com/id461898824   Максим Петров
vk.com/rinagreen2195    Rina Green       vk.com/id463469408
vk.com/id483162723      Анжелика Чистякова
vk.com/id366630659    Адик Акшабаев
vk.com/id9449540       Жанна Ветишева
 
Заблокировал их, и судя повсему это не боты!

Буквально спустя пару часов после восстановления доступа, уже на компьютере, что очень странно, насторожило, стало происходить такое
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Redyms-D/detailed-analysis.aspx - описанное здесь как Troj/Redyms-D,
флеш плеер инсталлер попытался соединится с узлом fpdownload2.macromedia.com [/size]при этом система безопасности сообщила об отсутствии действительной цифровой подписи, ip адрес с которым была попытка соединения таков 93.191.15.178
 
reverse dns   93.191.15.178 = 93-191-15-178.fiord.ru  Какое отношение fiord.ru имеет отношение к fpdownload2.macromedia.com не ясно, вполне возможно вышеозначенные лица заражают страницы соц сетей и как следствие компьютеры пользователей для похищения данных.

Вопрос такой. Мог ли быть загружен вирус на компьютер при посещении заражённой страницы вконтакте незаметно без запросов? 
 
Redyms-D - что это за вирус, что конкретно он делает, и как сильно повреждает систему?

Изменено 11 июня, 2018 пользователем Tilerson

[regist]

@Tilerson, тему перенёс в беседку. Тут можете спокойно болтать и обсуждать, что это за вирус.

А если у вас подозрение, что ваша система заражена, то Порядок оформления запроса о помощи.

И смотрю, что вы наплодили дубли своей темы и на других форумах. Если решите лечиться, то предепреждаю, что лечиться надо только на одном форуме. А то можете навредить своей системе.

Изменено 11 июня, 2018 пользователем regist

[Tilerson]

@Tilerson, тему перенёс в беседку. Тут можете спокойно болтать и обсуждать, что это за вирус.

А если у вас подозрение, что ваша система заражена, то Порядок оформления запроса о помощи.

И смотрю, что вы наплодили дубли своей темы и на других форумах. Если решите лечиться, то предепреждаю, что лечиться надо только на одном форуме. А то можете навредить своей системе.

Спасибо, всё ясно, насчёт дублей, да есть такое.., антивирус вроде ничего пока не нашёл, лишних процессов тоже вроде нет, со взломом страниц соц сетей впервые столкнулся, надо видимо всю систему просканировать целиком, netstat тоже вроде не выявляет ничего, на 100% обезопасить систему видимо нельзя, ну а так вроде этот вирус не сумел закончить свои действия.

 

Trojan.Redyms, более известный в России как BackDoor.Finder - полное описание пункт 9 - https://it.wikireading.ru/58120

 

 

 

В случае успеха троян отправляет зашифрованный запрос на один из управляющих серверов. Затем он получает в ответ актуальный список адресов для перенаправления. При обращении пользователя к популярным поисковым системам вместо результатов поиска отображается одна из фишинговых страниц.

[sputnikk]

Имелся антивирус на момент взлома?

Включено получение пароля по смс?

[ska79]

@sputnikk, есть же еще резервные коды для подтверждения входа.

[Friend]

@Tilerson, используете роутер?

Если да, то сбросьте все настройки роутера по умолчанию, обновите прошивку, настройте его по новой, поменяйте логин и пароль на вход.
Завершите все активные сеансы: https://vk.com/settings?act=security

Поменяйте пароль: https://vk.com/settings
 

[sputnikk]

 

 

есть же еще резервные коды для подтверждения входа.

для ВК?

[ska79]

@sputnikk, угу

[Tilerson]

Есть дополнение, хотя конечно и так всё здесь ясно, но тем не менее дополню
 
93.170.130.196 -
IP местоположение: Чехия, Novosibirskaya Oblast, Novosibirsk
Обратное имя хоста по IP: 93.170.130.196
             IP Владелец: Krek Ltd     -(на момент взлома в ведении хостинга Adman.com)
Владелец IP диапазон: 93.170.128.0 - 93.170.131.255
Владелец Адрес: 165 Nemirovicha-Danchenko, Novosibirsk, Russia
Владелец Web-сайт: fator.ru
 
Родительский IP Владелец: Alfa Telecom S.r.o
Родительский Владелец IP диапазон: 93.170.0.0 - 93.171.255.255    (131,072 ip)
Родительский Владелец Адрес: Kloknerova 2249/9, 148 00, Praha 4, Czech Republic
 
То есть ip адрес 93.170.130.196 из Чехии (www.alfatelecom.cz) предоставлен Krek Ltd (Новосибирск)
 
Идём дальше
 
93.88.77.199 -
IP местоположение: Россия,    Kemerovskaya Oblast,    Kemerovo
Обратное имя хоста по IP: 93.88.77.199
IP Владелец: Advanced Solutions Llc             (на момент взлома в ведении хостинга Rackstore.ru)
Владелец IP диапазон: 93.88.76.0 - 93.88.79.255    (1,024 ip)  
Владелец Адрес: Butlerova 7, 117485, Moscow, Russian Federation
Владелец CIDR: 93.88.76.0/22
 
То есть сам сервер откуда шёл взлом в Кемерово, а принадлежит он Московской конторе
 
Идём дальше
 
194.31.59.116 -
IP местоположение: Россия
Обратное имя хоста по IP: 194.31.59.116
IP Владелец: Hostbar Ltd              (на момент взлома в ведении хостинга Hostbar Ltd)
Владелец IP диапазон: 194.31.59.0 - 194.31.59.255    (256 ip) 
Владелец Адрес: 394036, Voronej, Ulica Kirova, Dom 4, Ofis 501
Владелец CIDR: 194.31.59.0/24
Whois запись создана: 08 Mar 2017  (муторный адрес, наверное более свежая информация актуальнее)
http://1whois.ru/world/RU/Воронежская%20обл/Воронеж/HostBar%20Ltd- а здесь запись за 2015 год (более старая).. видимо так
 
Таким образом взлом был произведён из 3х точек (Новосибирск, Кемерово, Воронеж)
 
 
Огромнейшее спасибо за советы, резервные коды, пароль по телефону изначально не были активированы, пароль был совсем простой (не менялся), теперь всё как надо. Завершение активных сеансов первым делом сделал.

[sputnikk]

 

 

, пароль по телефону изначально не были активированы, пароль был совсем простой (не менялся), теперь всё как надо.

так надо сделать везде, включая почту. Может они почту хакнули и по ней восстановили пароль