Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Взлом страницы Вконтакте. Вирус Redyms-D

Tilerson

Автор Tilerson
в Беседка

 Поделиться

Рекомендуемые сообщения

Tilerson

Tilerson

Опубликовано
Опубликовано (изменено)

Добрый день!

У меня сложилась следующая ситуация, недели три подряд не мог зайти на свою станицу вконтакте, всё время страница никак не принимала контактные данные, с надписью, если вы уверены, что всё точно, кликните сюда, сначала думал само пройдёт, но доступа на страницу не было, пришлось кликнуть по ссылке и иннициировать восстановление пароля.
 
Благодаря телефону, сделать это удалось. Страницу было не узнать, пошлые надписи и картинки непристойного вида, разные угрозы, стало ясно взломали. И хотя доступ с трудом был получен, злоумышленники разладили всё что смогли, разные настройки конфидециальности и массово добавились в друзья, в последних входах остались их ip. Как потом сообщила на запрос о случившемся взломе служба поддержки вконтакте, что скорее всего это вирус. Но чуть позже при детальном изучении всего содержимого страницы версия целенаправленного взлома стала более очевидной (возможно с целью заражения).
 
Те что добавились сами в друзья изрядно наследили- вот их ip
 
93.170.130.196 - как оказалось числится за хостингом Adman.com

  • person: Sergey E Ivanov
  • address: Russia, Novosibirsk
  • address: Nemirovicha-Danchenko 165, 101
  • e-mail: support@adman.com
  • phone: +73833750128
  • fax-no: +73833750128
  • notify: support@adman.com

93.88.77.199 - второй за хостингом Rackstore.ru

  • address: Moscow, Russia
  • address: 117485, Butlerova st. 7
  • e-mail: alexander@rackstore.ru

194.31.59.116 - третий за малоизвестным хостингом HostBar Ltd - Россия, Воронежская обл., Воронеж, провайдером которого судя по информации [/size]http://1whois.ru/world/RU/Воронежская%20обл/Воронеж/HostBar%20Ltd  является Selectel.ru [/size]-- вконтакте определил его как - Кемерово

  • notify: ki.dubin@yandex.ru
  • created: 2012-01-23T16:11:43Z
  • last-modified: 2018-03-12T14:18:34Z
  • person: Maxim Golochalov
  • address: 394036, Voronej, ulica Kirova, dom 4, ofis 501
  • phone: +7 926 143-62-79 

Взлом страницы был осуществлён 25 мая 2018 года, можно было бы конечно провайдерам, если они конечно провайдеры законопослушные отследить, кто по документам 25 мая 2018 арендовал сервера с данными ip, тогда стало бы ясно кто злоумышленник, если конечно провайдер сам не в сговоре и не прикрывает кого то своего, всё бывает.. удивляться уже ничему не приходится.
 
А вот те кто добавился в друзья
 
vk.com/id373653666   Артём Журавов
vk.com/id443621740   Максим Воротников
vk.com/psspr          Gagas Gagoyan      vk.com/id249089534
vk.com/id400485111    Gurgen Martirosyan
vk.com/id439953747   Сергей Позняк
vk.com/id450777499   Денис Панфилов
vk.com/justlooney    Никита Николаев      vk.com/id456321778
vk.com/id461898824   Максим Петров
vk.com/rinagreen2195    Rina Green       vk.com/id463469408
vk.com/id483162723      Анжелика Чистякова
vk.com/id366630659    Адик Акшабаев
vk.com/id9449540       Жанна Ветишева
 
Заблокировал их, и судя повсему это не боты!

Буквально спустя пару часов после восстановления доступа, уже на компьютере, что очень странно, насторожило, стало происходить такое
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Redyms-D/detailed-analysis.aspx - описанное здесь как Troj/Redyms-D,
флеш плеер инсталлер попытался соединится с узлом fpdownload2.macromedia.com [/size]при этом система безопасности сообщила об отсутствии действительной цифровой подписи, ip адрес с которым была попытка соединения таков 93.191.15.178
 
reverse dns   93.191.15.178 = 93-191-15-178.fiord.ru  Какое отношение fiord.ru имеет отношение к fpdownload2.macromedia.com не ясно, вполне возможно вышеозначенные лица заражают страницы соц сетей и как следствие компьютеры пользователей для похищения данных.

Вопрос такой. Мог ли быть загружен вирус на компьютер при посещении заражённой страницы вконтакте незаметно без запросов? 
 
Redyms-D - что это за вирус, что конкретно он делает, и как сильно повреждает систему?

Изменено пользователем Tilerson
regist

regist

Опубликовано
Опубликовано (изменено)

@Tilerson, тему перенёс в беседку. Тут можете спокойно болтать и обсуждать, что это за вирус.

А если у вас подозрение, что ваша система заражена, то Порядок оформления запроса о помощи.

И смотрю, что вы наплодили дубли своей темы и на других форумах. Если решите лечиться, то предепреждаю, что лечиться надо только на одном форуме. А то можете навредить своей системе.

Изменено пользователем regist
Tilerson

Tilerson

Опубликовано
  • Автор
Опубликовано

@Tilerson, тему перенёс в беседку. Тут можете спокойно болтать и обсуждать, что это за вирус.

А если у вас подозрение, что ваша система заражена, то Порядок оформления запроса о помощи.

И смотрю, что вы наплодили дубли своей темы и на других форумах. Если решите лечиться, то предепреждаю, что лечиться надо только на одном форуме. А то можете навредить своей системе.

Спасибо, всё ясно, насчёт дублей, да есть такое.., антивирус вроде ничего пока не нашёл, лишних процессов тоже вроде нет, со взломом страниц соц сетей впервые столкнулся, надо видимо всю систему просканировать целиком, netstat тоже вроде не выявляет ничего, на 100% обезопасить систему видимо нельзя, ну а так вроде этот вирус не сумел закончить свои действия.

 

Trojan.Redyms, более известный в России как BackDoor.Finder - полное описание пункт 9 - https://it.wikireading.ru/58120

 

 

 

В случае успеха троян отправляет зашифрованный запрос на один из управляющих серверов. Затем он получает в ответ актуальный список адресов для перенаправления. При обращении пользователя к популярным поисковым системам вместо результатов поиска отображается одна из фишинговых страниц.
sputnikk

sputnikk

Опубликовано
Опубликовано

Имелся антивирус на момент взлома?

Включено получение пароля по смс?

Friend

Friend

Опубликовано
Опубликовано

@Tilerson, используете роутер?

Если да, то сбросьте все настройки роутера по умолчанию, обновите прошивку, настройте его по новой, поменяйте логин и пароль на вход.
Завершите все активные сеансы: https://vk.com/settings?act=security

Поменяйте пароль: https://vk.com/settings
 

  • Спасибо (+1) 1
sputnikk

sputnikk

Опубликовано
Опубликовано

 

 


есть же еще резервные коды для подтверждения входа.
для ВК?
Tilerson

Tilerson

Опубликовано
  • Автор
Опубликовано

Есть дополнение, хотя конечно и так всё здесь ясно, но тем не менее дополню
 
93.170.130.196 -
IP местоположение: Чехия, Novosibirskaya Oblast, Novosibirsk
Обратное имя хоста по IP: 93.170.130.196
             IP Владелец: Krek Ltd     -(на момент взлома в ведении хостинга Adman.com)
Владелец IP диапазон: 93.170.128.0 - 93.170.131.255
Владелец Адрес: 165 Nemirovicha-Danchenko, Novosibirsk, Russia
Владелец Web-сайт: fator.ru
 
Родительский IP Владелец: Alfa Telecom S.r.o
Родительский Владелец IP диапазон: 93.170.0.0 - 93.171.255.255    (131,072 ip)
Родительский Владелец Адрес: Kloknerova 2249/9, 148 00, Praha 4, Czech Republic
 
То есть ip адрес 93.170.130.196 из Чехии (www.alfatelecom.cz) предоставлен Krek Ltd (Новосибирск)
 
Идём дальше
 
93.88.77.199 -
IP местоположение: Россия,    Kemerovskaya Oblast,    Kemerovo
Обратное имя хоста по IP: 93.88.77.199
IP Владелец: Advanced Solutions Llc             (на момент взлома в ведении хостинга Rackstore.ru)
Владелец IP диапазон: 93.88.76.0 - 93.88.79.255    (1,024 ip)  
Владелец Адрес: Butlerova 7, 117485, Moscow, Russian Federation
Владелец CIDR: 93.88.76.0/22
 
То есть сам сервер откуда шёл взлом в Кемерово, а принадлежит он Московской конторе
 
Идём дальше
 
194.31.59.116 -
IP местоположение: Россия
Обратное имя хоста по IP: 194.31.59.116
IP Владелец: Hostbar Ltd              (на момент взлома в ведении хостинга Hostbar Ltd)
Владелец IP диапазон: 194.31.59.0 - 194.31.59.255    (256 ip) 
Владелец Адрес: 394036, Voronej, Ulica Kirova, Dom 4, Ofis 501
Владелец CIDR: 194.31.59.0/24
Whois запись создана: 08 Mar 2017  (муторный адрес, наверное более свежая информация актуальнее)
http://1whois.ru/world/RU/Воронежская%20обл/Воронеж/HostBar%20Ltd- а здесь запись за 2015 год (более старая).. видимо так
 
Таким образом взлом был произведён из 3х точек (Новосибирск, Кемерово, Воронеж)
 
 
Огромнейшее спасибо за советы, резервные коды, пароль по телефону изначально не были активированы, пароль был совсем простой (не менялся), теперь всё как надо. Завершение активных сеансов первым делом сделал.

sputnikk

sputnikk

Опубликовано
Опубликовано

 

 


, пароль по телефону изначально не были активированы, пароль был совсем простой (не менялся), теперь всё как надо.
так надо сделать везде, включая почту. Может они почту хакнули и по ней восстановили пароль

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
×
×
  • Создать...