Перейти к содержимому


Фото
- - - - -

Взлом страницы Вконтакте. Что делать. Вирус Redyms-D

защита от взлома вконтакте redyms

  • Please log in to reply
5 ответов в этой теме

#1 mvf

mvf

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 10 Июнь 2018 - 08:52

Доброе утро!

У меня сложилась следующая ситуация, недели три подряд не мог зайти на свою станицу вконтакте, всё время страница никак не принимала контактные данные, с надписью, если вы уверены, что всё точно, кликните сюда, сначала думал само пройдёт, но доступа на страницу не было, пришлось кликнуть по ссылке и иннициировать восстановление пароля.

 

Благодаря телефону, сделать это удалось. Страницу было не узнать, пошлые надписи и картинки непристойного вида, разные угрозы, стало ясно взломали. И хотя доступ с трудом был получен, злоумышленники разладили всё что смогли, разные настройки конфидециальности и массово добавились в друзья, в последних входах остались их ip. Как потом сообщила на запрос о случившемся взломе служба поддержки, что скорее всего это вирус. Но чуть позже при детальном изучении всего содержимого страницы версия целенаправленного взлома стала более очевидной (возможно с целью заражения).

 

Те что добавились сами в друзья изрядно наследили- вот их ip

 

93.170.130.196 - как оказалось числится за хостингом Adman.com

  • person: Sergey E Ivanov
  • address: Russia, Novosibirsk
  • address: Nemirovicha-Danchenko 165, 101
  • e-mail: support@adman.com
  • phone: +73833750128
  • fax-no: +73833750128
  • notify: support@adman.com

 

 

93.88.77.199 - второй за хостингом Rackstore.ru

  • address: Moscow, Russia
  • address: 117485, Butlerova st. 7
  • e-mail: alexander@rackstore.ru

 

 

 

194.31.59.116 - третий за малоизвестным хостингом HostBar Ltd - Россия, Воронежская обл., Воронеж, провайдером которого судя по информации http://1whois.ru/world/RU/Воронежская%20обл/Воронеж/HostBar%20Ltd  является Selectel.ru

 

  • notify: ki.dubin@yandex.ru
  • created: 2012-01-23T16:11:43Z
  • last-modified: 2018-03-12T14:18:34Z

 

  • person: Maxim Golochalov
  • address: 394036, Voronej, ulica Kirova, dom 4, ofis 501
  • phone: +7 926 143-62-79 -- вконтакте определил его как - Кемерово

 

Взлом страницы был осуществлён 25 мая 2018 года, можно было бы конечно провайдерам, если они конечно провайдеры законопослушные отследить, кто по документам 25 мая 2018 арендовал сервера с данными ip, тогда стало бы ясно кто злоумышленник, если конечно провайдер сам не в сговоре и не прикрывает кого то своего, всё бывает.. удивляться уже ничему не приходится.

 

А вот те кто добавился в друзья

 

vk.com/id373653666   Артём Журавов
vk.com/id443621740   Максим Воротников
vk.com/psspr          Gagas Gagoyan      vk.com/id249089534
vk.com/id400485111    Gurgen Martirosyan
vk.com/id439953747   Сергей Позняк
vk.com/id450777499   Денис Панфилов
vk.com/justlooney    Никита Николаев      vk.com/id456321778
vk.com/id461898824   Максим Петров
vk.com/rinagreen2195    Rina Green       vk.com/id463469408
vk.com/id483162723      Анжелика Чистякова
vk.com/id366630659    Адик Акшабаев
vk.com/id9449540       Жанна Ветишева
 
Заблокировал их, и судя повсему это не боты!


Буквально спустя пару часов после восстановления доступа, уже на компьютере, что очень странно, насторожило, стало происходить такое
флеш плеер инсталлер попытался соединится с узлом fpdownload2.macromedia.com при этом система безопасности сообщила об отсутствии действительной цифровой подписи, ip адрес с которым была попытка соединения таков 93.191.15.178
 
reverse dns   93.191.15.178 = 93-191-15-178.fiord.ru  Какое отношение fiord.ru имеет отношение к fpdownload2.macromedia.com не ясно, вполне возможно вышеозначенные лица заражают страницы соц сетей и как следствие компьютеры пользователей для похищения данных.

Вопрос такой. Мог ли быть загружен вирус на компьютер при посещении заражённой страницы вконтакте незаметно без запросов? 
 
Redyms-D - что это за вирус, что конкретно он делает, и как сильно повреждает систему?
 


#2 fetch

fetch

    Member

  • Posters
  • 322 Сообщений:

Отправлено 10 Июнь 2018 - 10:47

Делайте логи по правилам раздела.

#3 Dmitry_rus

Dmitry_rus

    Massive Poster

  • Helpers
  • 2 684 Сообщений:

Отправлено 10 Июнь 2018 - 20:47

Redyms-D - что это за вирус, что конкретно он делает
Логично предположить, что об этом лучше спросить тех, кто его так назвал в своей классификации, т.е. Sophos. По приведенной вами ссылке, кстати говоря, указаны и создаваемые им процессы/ключи реестра. Проверяйте их наличие на своей машине.

#4 mvf

mvf

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 13 Июнь 2018 - 06:43

Небольшое дополнение:

 

93.170.130.196 -
IP местоположение: Чехия, Novosibirskaya Oblast, Novosibirsk
Обратное имя хоста по IP: 93.170.130.196
             IP Владелец: Krek Ltd     -(на момент взлома в ведении хостинга Adman.com)
Владелец IP диапазон: 93.170.128.0 - 93.170.131.255
Владелец Адрес: 165 Nemirovicha-Danchenko, Novosibirsk, Russia
Владелец Web-сайт: fator.ru
 
Родительский IP Владелец: Alfa Telecom S.r.o
Родительский Владелец IP диапазон: 93.170.0.0 - 93.171.255.255    (131,072 ip)
Родительский Владелец Адрес: Kloknerova 2249/9, 148 00, Praha 4, Czech Republic
 
То есть ip адрес 93.170.130.196 из Чехии (www.alfatelecom.cz) предоставлен Krek Ltd (Новосибирск)
 
Идём дальше
 
93.88.77.199 -
IP местоположение: Россия,    Kemerovskaya Oblast,    Kemerovo
Обратное имя хоста по IP: 93.88.77.199
IP Владелец: Advanced Solutions Llc             (на момент взлома в ведении хостинга Rackstore.ru)
Владелец IP диапазон: 93.88.76.0 - 93.88.79.255    (1,024 ip)  
Владелец Адрес: Butlerova 7, 117485, Moscow, Russian Federation
Владелец CIDR: 93.88.76.0/22
 
То есть сам сервер откуда шёл взлом в Кемерово, а принадлежит он Московской конторе
 
Идём дальше
 
194.31.59.116 -
IP местоположение: Россия
Обратное имя хоста по IP: 194.31.59.116
IP Владелец: Hostbar Ltd              (на момент взлома в ведении хостинга Hostbar Ltd)
Владелец IP диапазон: 194.31.59.0 - 194.31.59.255    (256 ip) 
Владелец Адрес: 394036, Voronej, Ulica Kirova, Dom 4, Ofis 501
Владелец CIDR: 194.31.59.0/24
Whois запись создана: 08 Mar 2017  (муторный адрес, наверное более свежая информация актуальнее)
http://1whois.ru/wor...неж/HostBar Ltd- а здесь запись за 2015 год (более старая).. видимо так 
 
Таким образом взлом был произведён из 3х точек (Новосибирск, Кемерово, Воронеж)

 

Ключи реестра обозначенные здесь как симптомы заражения компьютера к счастью не выявлены, предварительное сканирование также ничего не дало, процесс . twunk_32.exe также не обнаружен, с одной стороны это хорошо, возможно вирус не сумел завладеть системой, а с другой стороны, возможно ко мне попала его модифицированная версия, предположительно, тем самым затрудняя поиск вредоносного программного обеспечениея. 


Сообщение было изменено mvf: 13 Июнь 2018 - 06:46


#5 mvf

mvf

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 13 Июнь 2018 - 06:49

 

Redyms-D - что это за вирус, что конкретно он делает
Логично предположить, что об этом лучше спросить тех, кто его так назвал в своей классификации, т.е. Sophos. По приведенной вами ссылке, кстати говоря, указаны и создаваемые им процессы/ключи реестра. Проверяйте их наличие на своей машине.

 

Trojan.Redyms, более известный в России как BackDoor.Finder - полное описание пункт 9https://it.wikireading.ru/58120



#6 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 706 Сообщений:

Отправлено 13 Июнь 2018 - 08:03

mvf, если не будет логов по правилам раздела, то тема ни о чем. Читать описания, которые вполне возможно никак не связаны с вашим случаем, никто не будет.





Also tagged with one or more of these keywords: защита от взлома, вконтакте, redyms

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых