Перейти к содержанию

Взлом страницы Вконтакте. Вирус Redyms-D

Tilerson

Автор Tilerson,
в Беседка

 Share Подписчики 0

Рекомендуемые сообщения

Tilerson

Tilerson 0

Опубликовано
Опубликовано (изменено)

Добрый день!

У меня сложилась следующая ситуация, недели три подряд не мог зайти на свою станицу вконтакте, всё время страница никак не принимала контактные данные, с надписью, если вы уверены, что всё точно, кликните сюда, сначала думал само пройдёт, но доступа на страницу не было, пришлось кликнуть по ссылке и иннициировать восстановление пароля.
 
Благодаря телефону, сделать это удалось. Страницу было не узнать, пошлые надписи и картинки непристойного вида, разные угрозы, стало ясно взломали. И хотя доступ с трудом был получен, злоумышленники разладили всё что смогли, разные настройки конфидециальности и массово добавились в друзья, в последних входах остались их ip. Как потом сообщила на запрос о случившемся взломе служба поддержки вконтакте, что скорее всего это вирус. Но чуть позже при детальном изучении всего содержимого страницы версия целенаправленного взлома стала более очевидной (возможно с целью заражения).
 
Те что добавились сами в друзья изрядно наследили- вот их ip
 
93.170.130.196 - как оказалось числится за хостингом Adman.com

  • person: Sergey E Ivanov
  • address: Russia, Novosibirsk
  • address: Nemirovicha-Danchenko 165, 101
  • e-mail: support@adman.com
  • phone: +73833750128
  • fax-no: +73833750128
  • notify: support@adman.com

93.88.77.199 - второй за хостингом Rackstore.ru

  • address: Moscow, Russia
  • address: 117485, Butlerova st. 7
  • e-mail: alexander@rackstore.ru

194.31.59.116 - третий за малоизвестным хостингом HostBar Ltd - Россия, Воронежская обл., Воронеж, провайдером которого судя по информации [/size]http://1whois.ru/world/RU/Воронежская%20обл/Воронеж/HostBar%20Ltd  является Selectel.ru [/size]-- вконтакте определил его как - Кемерово

  • notify: ki.dubin@yandex.ru
  • created: 2012-01-23T16:11:43Z
  • last-modified: 2018-03-12T14:18:34Z
  • person: Maxim Golochalov
  • address: 394036, Voronej, ulica Kirova, dom 4, ofis 501
  • phone: +7 926 143-62-79 

Взлом страницы был осуществлён 25 мая 2018 года, можно было бы конечно провайдерам, если они конечно провайдеры законопослушные отследить, кто по документам 25 мая 2018 арендовал сервера с данными ip, тогда стало бы ясно кто злоумышленник, если конечно провайдер сам не в сговоре и не прикрывает кого то своего, всё бывает.. удивляться уже ничему не приходится.
 
А вот те кто добавился в друзья
 
vk.com/id373653666   Артём Журавов
vk.com/id443621740   Максим Воротников
vk.com/psspr          Gagas Gagoyan      vk.com/id249089534
vk.com/id400485111    Gurgen Martirosyan
vk.com/id439953747   Сергей Позняк
vk.com/id450777499   Денис Панфилов
vk.com/justlooney    Никита Николаев      vk.com/id456321778
vk.com/id461898824   Максим Петров
vk.com/rinagreen2195    Rina Green       vk.com/id463469408
vk.com/id483162723      Анжелика Чистякова
vk.com/id366630659    Адик Акшабаев
vk.com/id9449540       Жанна Ветишева
 
Заблокировал их, и судя повсему это не боты!

Буквально спустя пару часов после восстановления доступа, уже на компьютере, что очень странно, насторожило, стало происходить такое
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Redyms-D/detailed-analysis.aspx - описанное здесь как Troj/Redyms-D,
флеш плеер инсталлер попытался соединится с узлом fpdownload2.macromedia.com [/size]при этом система безопасности сообщила об отсутствии действительной цифровой подписи, ip адрес с которым была попытка соединения таков 93.191.15.178
 
reverse dns   93.191.15.178 = 93-191-15-178.fiord.ru  Какое отношение fiord.ru имеет отношение к fpdownload2.macromedia.com не ясно, вполне возможно вышеозначенные лица заражают страницы соц сетей и как следствие компьютеры пользователей для похищения данных.

Вопрос такой. Мог ли быть загружен вирус на компьютер при посещении заражённой страницы вконтакте незаметно без запросов? 
 
Redyms-D - что это за вирус, что конкретно он делает, и как сильно повреждает систему?

Изменено пользователем Tilerson
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

@Tilerson, тему перенёс в беседку. Тут можете спокойно болтать и обсуждать, что это за вирус.

А если у вас подозрение, что ваша система заражена, то Порядок оформления запроса о помощи.

И смотрю, что вы наплодили дубли своей темы и на других форумах. Если решите лечиться, то предепреждаю, что лечиться надо только на одном форуме. А то можете навредить своей системе.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
Tilerson

Tilerson 0

Опубликовано
  • Автор
Опубликовано

@Tilerson, тему перенёс в беседку. Тут можете спокойно болтать и обсуждать, что это за вирус.

А если у вас подозрение, что ваша система заражена, то Порядок оформления запроса о помощи.

И смотрю, что вы наплодили дубли своей темы и на других форумах. Если решите лечиться, то предепреждаю, что лечиться надо только на одном форуме. А то можете навредить своей системе.

Спасибо, всё ясно, насчёт дублей, да есть такое.., антивирус вроде ничего пока не нашёл, лишних процессов тоже вроде нет, со взломом страниц соц сетей впервые столкнулся, надо видимо всю систему просканировать целиком, netstat тоже вроде не выявляет ничего, на 100% обезопасить систему видимо нельзя, ну а так вроде этот вирус не сумел закончить свои действия.

 

Trojan.Redyms, более известный в России как BackDoor.Finder - полное описание пункт 9 - https://it.wikireading.ru/58120

 

 

 

В случае успеха троян отправляет зашифрованный запрос на один из управляющих серверов. Затем он получает в ответ актуальный список адресов для перенаправления. При обращении пользователя к популярным поисковым системам вместо результатов поиска отображается одна из фишинговых страниц.
Ссылка на сообщение
Поделиться на другие сайты
Friend

Friend 1 246

Опубликовано
Опубликовано

@Tilerson, используете роутер?

Если да, то сбросьте все настройки роутера по умолчанию, обновите прошивку, настройте его по новой, поменяйте логин и пароль на вход.
Завершите все активные сеансы: https://vk.com/settings?act=security

Поменяйте пароль: https://vk.com/settings
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Tilerson

Tilerson 0

Опубликовано
  • Автор
Опубликовано

Есть дополнение, хотя конечно и так всё здесь ясно, но тем не менее дополню
 
93.170.130.196 -
IP местоположение: Чехия, Novosibirskaya Oblast, Novosibirsk
Обратное имя хоста по IP: 93.170.130.196
             IP Владелец: Krek Ltd     -(на момент взлома в ведении хостинга Adman.com)
Владелец IP диапазон: 93.170.128.0 - 93.170.131.255
Владелец Адрес: 165 Nemirovicha-Danchenko, Novosibirsk, Russia
Владелец Web-сайт: fator.ru
 
Родительский IP Владелец: Alfa Telecom S.r.o
Родительский Владелец IP диапазон: 93.170.0.0 - 93.171.255.255    (131,072 ip)
Родительский Владелец Адрес: Kloknerova 2249/9, 148 00, Praha 4, Czech Republic
 
То есть ip адрес 93.170.130.196 из Чехии (www.alfatelecom.cz) предоставлен Krek Ltd (Новосибирск)
 
Идём дальше
 
93.88.77.199 -
IP местоположение: Россия,    Kemerovskaya Oblast,    Kemerovo
Обратное имя хоста по IP: 93.88.77.199
IP Владелец: Advanced Solutions Llc             (на момент взлома в ведении хостинга Rackstore.ru)
Владелец IP диапазон: 93.88.76.0 - 93.88.79.255    (1,024 ip)  
Владелец Адрес: Butlerova 7, 117485, Moscow, Russian Federation
Владелец CIDR: 93.88.76.0/22
 
То есть сам сервер откуда шёл взлом в Кемерово, а принадлежит он Московской конторе
 
Идём дальше
 
194.31.59.116 -
IP местоположение: Россия
Обратное имя хоста по IP: 194.31.59.116
IP Владелец: Hostbar Ltd              (на момент взлома в ведении хостинга Hostbar Ltd)
Владелец IP диапазон: 194.31.59.0 - 194.31.59.255    (256 ip) 
Владелец Адрес: 394036, Voronej, Ulica Kirova, Dom 4, Ofis 501
Владелец CIDR: 194.31.59.0/24
Whois запись создана: 08 Mar 2017  (муторный адрес, наверное более свежая информация актуальнее)
http://1whois.ru/world/RU/Воронежская%20обл/Воронеж/HostBar%20Ltd- а здесь запись за 2015 год (более старая).. видимо так
 
Таким образом взлом был произведён из 3х точек (Новосибирск, Кемерово, Воронеж)
 
 
Огромнейшее спасибо за советы, резервные коды, пароль по телефону изначально не были активированы, пароль был совсем простой (не менялся), теперь всё как надо. Завершение активных сеансов первым делом сделал.

Ссылка на сообщение
Поделиться на другие сайты
sputnikk

sputnikk 1 310

Опубликовано
Опубликовано

 

 


, пароль по телефону изначально не были активированы, пароль был совсем простой (не менялся), теперь всё как надо.
так надо сделать везде, включая почту. Может они почту хакнули и по ней восстановили пароль
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Дмитрий_Дмитрий
      Помогите удалить вирус
      От Дмитрий_Дмитрий
      Здравствуйте, помогите удалить вирус пожалуйста! Farbar Recovery Scan Tool - результат в файле
      S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327128 2024-04-17] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
      Downloads.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Jigglypuff
      [РЕШЕНО] Вирус HEUR:Trojan.Multi.GenAdur.gen
      От Jigglypuff
      Здравствуйте, Kaspersky Standard выдал обнаружение вируса HEUR:Trojan.Multi.GenAdur.gen, можете посмотреть пожалуйста логи. Как-то 2 месяца назад была похожая ошибка с Trojian, и мне сказали, что это просто Касперский агрится на Ads Power (антидетект браузер AdsPower для мультиаккаутинга, СММ, арбитража). Сейчас такая же проблема, или есть какой-то вирус:

      Событие: Объект вылечен
      Пользователь: DESKTOP-LEI20ML\serge
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Вылечено
      Описание результата: Вылечено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.gena
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: SunBrowser.exe
      Путь к объекту: proc:\C:\Users\serge\AppData\Roaming\adspower_global\cwd_global\chrome_115

      И если написано: Результат: Вылечено, может ли он появится снова если его удалило, и вы ничего в логах не найдёте странного? 

      Заранее спасибо
      CollectionLog-2024.04.16-02.03.zip
×
×
  • Создать...