Перейти к содержанию

Взлом страницы Вконтакте. Вирус Redyms-D


Tilerson

Рекомендуемые сообщения

Добрый день!

У меня сложилась следующая ситуация, недели три подряд не мог зайти на свою станицу вконтакте, всё время страница никак не принимала контактные данные, с надписью, если вы уверены, что всё точно, кликните сюда, сначала думал само пройдёт, но доступа на страницу не было, пришлось кликнуть по ссылке и иннициировать восстановление пароля.
 
Благодаря телефону, сделать это удалось. Страницу было не узнать, пошлые надписи и картинки непристойного вида, разные угрозы, стало ясно взломали. И хотя доступ с трудом был получен, злоумышленники разладили всё что смогли, разные настройки конфидециальности и массово добавились в друзья, в последних входах остались их ip. Как потом сообщила на запрос о случившемся взломе служба поддержки вконтакте, что скорее всего это вирус. Но чуть позже при детальном изучении всего содержимого страницы версия целенаправленного взлома стала более очевидной (возможно с целью заражения).
 
Те что добавились сами в друзья изрядно наследили- вот их ip
 
93.170.130.196 - как оказалось числится за хостингом Adman.com

  • person: Sergey E Ivanov
  • address: Russia, Novosibirsk
  • address: Nemirovicha-Danchenko 165, 101
  • e-mail: support@adman.com
  • phone: +73833750128
  • fax-no: +73833750128
  • notify: support@adman.com

93.88.77.199 - второй за хостингом Rackstore.ru

  • address: Moscow, Russia
  • address: 117485, Butlerova st. 7
  • e-mail: alexander@rackstore.ru

194.31.59.116 - третий за малоизвестным хостингом HostBar Ltd - Россия, Воронежская обл., Воронеж, провайдером которого судя по информации [/size]http://1whois.ru/world/RU/Воронежская%20обл/Воронеж/HostBar%20Ltd  является Selectel.ru [/size]-- вконтакте определил его как - Кемерово

  • notify: ki.dubin@yandex.ru
  • created: 2012-01-23T16:11:43Z
  • last-modified: 2018-03-12T14:18:34Z
  • person: Maxim Golochalov
  • address: 394036, Voronej, ulica Kirova, dom 4, ofis 501
  • phone: +7 926 143-62-79 

Взлом страницы был осуществлён 25 мая 2018 года, можно было бы конечно провайдерам, если они конечно провайдеры законопослушные отследить, кто по документам 25 мая 2018 арендовал сервера с данными ip, тогда стало бы ясно кто злоумышленник, если конечно провайдер сам не в сговоре и не прикрывает кого то своего, всё бывает.. удивляться уже ничему не приходится.
 
А вот те кто добавился в друзья
 
vk.com/id373653666   Артём Журавов
vk.com/id443621740   Максим Воротников
vk.com/psspr          Gagas Gagoyan      vk.com/id249089534
vk.com/id400485111    Gurgen Martirosyan
vk.com/id439953747   Сергей Позняк
vk.com/id450777499   Денис Панфилов
vk.com/justlooney    Никита Николаев      vk.com/id456321778
vk.com/id461898824   Максим Петров
vk.com/rinagreen2195    Rina Green       vk.com/id463469408
vk.com/id483162723      Анжелика Чистякова
vk.com/id366630659    Адик Акшабаев
vk.com/id9449540       Жанна Ветишева
 
Заблокировал их, и судя повсему это не боты!

Буквально спустя пару часов после восстановления доступа, уже на компьютере, что очень странно, насторожило, стало происходить такое
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Redyms-D/detailed-analysis.aspx - описанное здесь как Troj/Redyms-D,
флеш плеер инсталлер попытался соединится с узлом fpdownload2.macromedia.com [/size]при этом система безопасности сообщила об отсутствии действительной цифровой подписи, ip адрес с которым была попытка соединения таков 93.191.15.178
 
reverse dns   93.191.15.178 = 93-191-15-178.fiord.ru  Какое отношение fiord.ru имеет отношение к fpdownload2.macromedia.com не ясно, вполне возможно вышеозначенные лица заражают страницы соц сетей и как следствие компьютеры пользователей для похищения данных.

Вопрос такой. Мог ли быть загружен вирус на компьютер при посещении заражённой страницы вконтакте незаметно без запросов? 
 
Redyms-D - что это за вирус, что конкретно он делает, и как сильно повреждает систему?

Изменено пользователем Tilerson
Ссылка на комментарий
Поделиться на другие сайты

@Tilerson, тему перенёс в беседку. Тут можете спокойно болтать и обсуждать, что это за вирус.

А если у вас подозрение, что ваша система заражена, то Порядок оформления запроса о помощи.

И смотрю, что вы наплодили дубли своей темы и на других форумах. Если решите лечиться, то предепреждаю, что лечиться надо только на одном форуме. А то можете навредить своей системе.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

@Tilerson, тему перенёс в беседку. Тут можете спокойно болтать и обсуждать, что это за вирус.

А если у вас подозрение, что ваша система заражена, то Порядок оформления запроса о помощи.

И смотрю, что вы наплодили дубли своей темы и на других форумах. Если решите лечиться, то предепреждаю, что лечиться надо только на одном форуме. А то можете навредить своей системе.

Спасибо, всё ясно, насчёт дублей, да есть такое.., антивирус вроде ничего пока не нашёл, лишних процессов тоже вроде нет, со взломом страниц соц сетей впервые столкнулся, надо видимо всю систему просканировать целиком, netstat тоже вроде не выявляет ничего, на 100% обезопасить систему видимо нельзя, ну а так вроде этот вирус не сумел закончить свои действия.

 

Trojan.Redyms, более известный в России как BackDoor.Finder - полное описание пункт 9 - https://it.wikireading.ru/58120

 

 

 

В случае успеха троян отправляет зашифрованный запрос на один из управляющих серверов. Затем он получает в ответ актуальный список адресов для перенаправления. При обращении пользователя к популярным поисковым системам вместо результатов поиска отображается одна из фишинговых страниц.
Ссылка на комментарий
Поделиться на другие сайты

@Tilerson, используете роутер?

Если да, то сбросьте все настройки роутера по умолчанию, обновите прошивку, настройте его по новой, поменяйте логин и пароль на вход.
Завершите все активные сеансы: https://vk.com/settings?act=security

Поменяйте пароль: https://vk.com/settings
 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Есть дополнение, хотя конечно и так всё здесь ясно, но тем не менее дополню
 
93.170.130.196 -
IP местоположение: Чехия, Novosibirskaya Oblast, Novosibirsk
Обратное имя хоста по IP: 93.170.130.196
             IP Владелец: Krek Ltd     -(на момент взлома в ведении хостинга Adman.com)
Владелец IP диапазон: 93.170.128.0 - 93.170.131.255
Владелец Адрес: 165 Nemirovicha-Danchenko, Novosibirsk, Russia
Владелец Web-сайт: fator.ru
 
Родительский IP Владелец: Alfa Telecom S.r.o
Родительский Владелец IP диапазон: 93.170.0.0 - 93.171.255.255    (131,072 ip)
Родительский Владелец Адрес: Kloknerova 2249/9, 148 00, Praha 4, Czech Republic
 
То есть ip адрес 93.170.130.196 из Чехии (www.alfatelecom.cz) предоставлен Krek Ltd (Новосибирск)
 
Идём дальше
 
93.88.77.199 -
IP местоположение: Россия,    Kemerovskaya Oblast,    Kemerovo
Обратное имя хоста по IP: 93.88.77.199
IP Владелец: Advanced Solutions Llc             (на момент взлома в ведении хостинга Rackstore.ru)
Владелец IP диапазон: 93.88.76.0 - 93.88.79.255    (1,024 ip)  
Владелец Адрес: Butlerova 7, 117485, Moscow, Russian Federation
Владелец CIDR: 93.88.76.0/22
 
То есть сам сервер откуда шёл взлом в Кемерово, а принадлежит он Московской конторе
 
Идём дальше
 
194.31.59.116 -
IP местоположение: Россия
Обратное имя хоста по IP: 194.31.59.116
IP Владелец: Hostbar Ltd              (на момент взлома в ведении хостинга Hostbar Ltd)
Владелец IP диапазон: 194.31.59.0 - 194.31.59.255    (256 ip) 
Владелец Адрес: 394036, Voronej, Ulica Kirova, Dom 4, Ofis 501
Владелец CIDR: 194.31.59.0/24
Whois запись создана: 08 Mar 2017  (муторный адрес, наверное более свежая информация актуальнее)
http://1whois.ru/world/RU/Воронежская%20обл/Воронеж/HostBar%20Ltd- а здесь запись за 2015 год (более старая).. видимо так
 
Таким образом взлом был произведён из 3х точек (Новосибирск, Кемерово, Воронеж)
 
 
Огромнейшее спасибо за советы, резервные коды, пароль по телефону изначально не были активированы, пароль был совсем простой (не менялся), теперь всё как надо. Завершение активных сеансов первым делом сделал.

Ссылка на комментарий
Поделиться на другие сайты

 

 


, пароль по телефону изначально не были активированы, пароль был совсем простой (не менялся), теперь всё как надо.
так надо сделать везде, включая почту. Может они почту хакнули и по ней восстановили пароль
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • iLuminate
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • civiero
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • KL FC Bot
      От KL FC Bot
      Вопреки распространенному мнению о том, что из Сети ничего невозможно удалить, Интернет помнит далеко не всё. В предыдущем посте из этой серии мы рассмотрели аж девять сценариев, в которых вы можете потерять доступ к данным, хранящимся онлайн, и привели подробные инструкции, какую информацию из онлайн-сервисов нужно обязательно (и желательно — быстро) бэкапить на свой компьютер и как это сделать. Сегодня расскажем о том, как удобнее всего сохранять веб-страницы на локальный компьютер, организовывать эти архивы и что делать, если ваш любимый сайт канул в Лету.
      Предположим, вы хотите сохранить статью с рецептом, сформировать библиографический список статей для своей научной работы или даже зафиксировать ту или иную публикацию в Интернете для суда. Все перечисленное публикуется в виде веб-страниц, и страницы эти ненадежны. Захотелось вспомнить музыкальные новости из 2005 года? Будет нелегко — сайт MTV News закрылся вместе со всеми своими статьями. Проверяете ссылки на источники в статьях Википедии? 11% из них уже ведут в никуда, хотя и были рабочими в момент написания статьи в Википедии. В целом «гниение ссылок» — постепенное удаление или переезд онлайн-контента — идет с высокой скоростью. 38% страниц, которые существовали десять лет назад, сегодня уже недоступны. Поэтому, если какую-то веб-страницу и ее содержимое вы считаете важным, есть смысл создать ее резервную копию.
      Как сохранить веб-страницу на компьютер
      Поскольку веб-страница состоит из десятков и сотен файлов, то для ее сохранения придется немного потрудиться. Основные способы сделать это:
      Сохранить только текст в файле HTML. Нажать в браузере «Сохранить веб-страницы» и выбрать вариант «Только HTML». Сохранится лишь текст веб-страницы, без какой-либо графики и красот.
      Сохранить текст и изображения. Соседняя опция «Сохранить веб-страницу целиком» (Web Page, Complete) создаст кроме файла HTML еще и папку с таким же именем, а в ней сохранит все графические элементы, стили и сценарии со страницы. Этот вариант неудобен тем, что на диске образуется много мусора из вспомогательных файлов страницы. Более удобна опция «Сохранить одним файлом» (Webpage, Single File), которая соберет веб-страницу и все ее ресурсы в файл с расширением .mhtml. Он свободно открывается в Chrome и Edge, но в других браузерах с ним могут возникнуть сложности. Эта опция есть не во всех браузерах, но если установить расширение SingleFile (доступно для большинства браузеров), то можно сохранить всю веб-страницу и ее медиаконтент в единый файл HTML, который прекрасно открывается во всех современных браузерах.
       
      View the full article
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
×
×
  • Создать...