5 ответов в этой теме

[mvf]

Доброе утро!

У меня сложилась следующая ситуация, недели три подряд не мог зайти на свою станицу вконтакте, всё время страница никак не принимала контактные данные, с надписью, если вы уверены, что всё точно, кликните сюда, сначала думал само пройдёт, но доступа на страницу не было, пришлось кликнуть по ссылке и иннициировать восстановление пароля.

 

Благодаря телефону, сделать это удалось. Страницу было не узнать, пошлые надписи и картинки непристойного вида, разные угрозы, стало ясно взломали. И хотя доступ с трудом был получен, злоумышленники разладили всё что смогли, разные настройки конфидециальности и массово добавились в друзья, в последних входах остались их ip. Как потом сообщила на запрос о случившемся взломе служба поддержки, что скорее всего это вирус. Но чуть позже при детальном изучении всего содержимого страницы версия целенаправленного взлома стала более очевидной (возможно с целью заражения).

 

Те что добавились сами в друзья изрядно наследили- вот их ip

 

93.170.130.196 - как оказалось числится за хостингом Adman.com

• person: Sergey E Ivanov
• address: Russia, Novosibirsk
• address: Nemirovicha-Danchenko 165, 101
• e-mail: support@adman.com
• phone: +73833750128
• fax-no: +73833750128
• notify: support@adman.com

 

 

93.88.77.199 - второй за хостингом Rackstore.ru

• address: Moscow, Russia
• address: 117485, Butlerova st. 7
• e-mail: alexander@rackstore.ru

 

 

 

194.31.59.116 - третий за малоизвестным хостингом HostBar Ltd - Россия, Воронежская обл., Воронеж, провайдером которого судя по информации http://1whois.ru/world/RU/Воронежская%20обл/Воронеж/HostBar%20Ltd  является Selectel.ru

 

• notify: ki.dubin@yandex.ru
• created: 2012-01-23T16:11:43Z
• last-modified: 2018-03-12T14:18:34Z

 

• person: Maxim Golochalov
• address: 394036, Voronej, ulica Kirova, dom 4, ofis 501
• phone: +7 926 143-62-79 -- вконтакте определил его как - Кемерово

 

Взлом страницы был осуществлён 25 мая 2018 года, можно было бы конечно провайдерам, если они конечно провайдеры законопослушные отследить, кто по документам 25 мая 2018 арендовал сервера с данными ip, тогда стало бы ясно кто злоумышленник, если конечно провайдер сам не в сговоре и не прикрывает кого то своего, всё бывает.. удивляться уже ничему не приходится.

 

А вот те кто добавился в друзья

 

vk.com/id373653666   Артём Журавов

vk.com/id443621740   Максим Воротников

vk.com/psspr          Gagas Gagoyan      vk.com/id249089534

vk.com/id400485111    Gurgen Martirosyan

vk.com/id439953747   Сергей Позняк

vk.com/id450777499   Денис Панфилов

vk.com/justlooney    Никита Николаев      vk.com/id456321778

vk.com/id461898824   Максим Петров

vk.com/rinagreen2195    Rina Green       vk.com/id463469408

vk.com/id483162723      Анжелика Чистякова

vk.com/id366630659    Адик Акшабаев

vk.com/id9449540       Жанна Ветишева

 

Заблокировал их, и судя повсему это не боты!


Буквально спустя пару часов после восстановления доступа, уже на компьютере, что очень странно, насторожило, стало происходить такое

https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Redyms-D/detailed-analysis.aspx - описанное здесь как Troj/Redyms-D,

флеш плеер инсталлер попытался соединится с узлом fpdownload2.macromedia.com при этом система безопасности сообщила об отсутствии действительной цифровой подписи, ip адрес с которым была попытка соединения таков 93.191.15.178

 

reverse dns   93.191.15.178 = 93-191-15-178.fiord.ru  Какое отношение fiord.ru имеет отношение к fpdownload2.macromedia.com не ясно, вполне возможно вышеозначенные лица заражают страницы соц сетей и как следствие компьютеры пользователей для похищения данных.

Вопрос такой. Мог ли быть загружен вирус на компьютер при посещении заражённой страницы вконтакте незаметно без запросов? 

 

Redyms-D - что это за вирус, что конкретно он делает, и как сильно повреждает систему?

 

[fetch]

Делайте логи по правилам раздела.

[Dmitry_rus]

Redyms-D - что это за вирус, что конкретно он делает

Логично предположить, что об этом лучше спросить тех, кто его так назвал в своей классификации, т.е. Sophos. По приведенной вами ссылке, кстати говоря, указаны и создаваемые им процессы/ключи реестра. Проверяйте их наличие на своей машине.

[mvf]

Небольшое дополнение:

 

93.170.130.196 -
IP местоположение: Чехия, Novosibirskaya Oblast, Novosibirsk
Обратное имя хоста по IP: 93.170.130.196
             IP Владелец: Krek Ltd     -(на момент взлома в ведении хостинга Adman.com)
Владелец IP диапазон: 93.170.128.0 - 93.170.131.255
Владелец Адрес: 165 Nemirovicha-Danchenko, Novosibirsk, Russia
Владелец Web-сайт: fator.ru
 
Родительский IP Владелец: Alfa Telecom S.r.o
Родительский Владелец IP диапазон: 93.170.0.0 - 93.171.255.255    (131,072 ip)
Родительский Владелец Адрес: Kloknerova 2249/9, 148 00, Praha 4, Czech Republic
 
То есть ip адрес 93.170.130.196 из Чехии (www.alfatelecom.cz) предоставлен Krek Ltd (Новосибирск)
 
Идём дальше
 
93.88.77.199 -
IP местоположение: Россия,    Kemerovskaya Oblast,    Kemerovo
Обратное имя хоста по IP: 93.88.77.199
IP Владелец: Advanced Solutions Llc             (на момент взлома в ведении хостинга Rackstore.ru)
Владелец IP диапазон: 93.88.76.0 - 93.88.79.255    (1,024 ip)  
Владелец Адрес: Butlerova 7, 117485, Moscow, Russian Federation
Владелец CIDR: 93.88.76.0/22
 
То есть сам сервер откуда шёл взлом в Кемерово, а принадлежит он Московской конторе
 
Идём дальше
 
194.31.59.116 -
IP местоположение: Россия
Обратное имя хоста по IP: 194.31.59.116
IP Владелец: Hostbar Ltd              (на момент взлома в ведении хостинга Hostbar Ltd)
Владелец IP диапазон: 194.31.59.0 - 194.31.59.255    (256 ip) 
Владелец Адрес: 394036, Voronej, Ulica Kirova, Dom 4, Ofis 501
Владелец CIDR: 194.31.59.0/24
Whois запись создана: 08 Mar 2017  (муторный адрес, наверное более свежая информация актуальнее)
http://1whois.ru/wor...неж/HostBar Ltd- а здесь запись за 2015 год (более старая).. видимо так 
 
Таким образом взлом был произведён из 3х точек (Новосибирск, Кемерово, Воронеж)

 

Ключи реестра обозначенные здесь как симптомы заражения компьютера к счастью не выявлены, предварительное сканирование также ничего не дало, процесс . twunk_32.exe также не обнаружен, с одной стороны это хорошо, возможно вирус не сумел завладеть системой, а с другой стороны, возможно ко мне попала его модифицированная версия, предположительно, тем самым затрудняя поиск вредоносного программного обеспечениея. 

Сообщение было изменено mvf: 13 Июнь 2018 - 06:46

[mvf]

 

Redyms-D - что это за вирус, что конкретно он делает

Логично предположить, что об этом лучше спросить тех, кто его так назвал в своей классификации, т.е. Sophos. По приведенной вами ссылке, кстати говоря, указаны и создаваемые им процессы/ключи реестра. Проверяйте их наличие на своей машине.

 

Trojan.Redyms, более известный в России как BackDoor.Finder - полное описание пункт 9 - https://it.wikireading.ru/58120

[Ivan Korolev]

mvf, если не будет логов по правилам раздела, то тема ни о чем. Читать описания, которые вполне возможно никак не связаны с вашим случаем, никто не будет.