Сегодня обратились за помощью с интересной проблемой. Сразу несколько устройств в одной сети, подключённой по Wi-Fi, стали вместо загрузки страниц, показывать сайт с требованием заплатить куда-то 1000 рублей. Адрес сайта, на который происходило перенаправление, для вымогателей не новый — mvd.ru. Всё остальное также как обычно — ввести номер телефона, оплатить и т. д.

Интерес эта ситуация вызвала тем, что, как думалось, заражено одновременно несколько устройств сети — компьютер на Windows и пара адройд-устройств.

Это было интересно, так как вызвало вполне обоснованное предположение, что какой-то супер вирус не только проник, но и сумел инициировать заражение устройств другого класса.

Анализ было решено начать с компьютера. Антивирус ничего не находил. Файл hosts оказался пустым и это вызвало некоторое недоразумение — как, собственно, так? Хорошо, были проверены свойства сетевых адаптеров, а именно — записи DNS серверов. Они оказались пустыми.

Вернулись к мобильным гаджетам и воспользовались другим источником Интернета — никакого перенаправления на mvd.ru не было. Стало окончательно понятно, что дело в роутере.

Роутером оказался красавец ASUS RT-N66U с кастомной прошивкой — мощная штука, надо сказать. И хотя моделька уже несколько лет как не флагман, она может дать фору очень многих современным устройствам. Сразу же внимание было обращено на DNS сервера. Там были какие-то адреса (к сожалению, удалили не сохранив) — то ли от провайдера, то ли от злоумышленника. Их поменяли на привычные 8.8.8.8 и 8.8.4.4, сохранили, сбросили кэш DNS на компьютере:

Была обнаружена поднятая «левая» VPN сеть. Она также была отключена. А проблема никуда не исчезла. Скажу честно, в этом месте я крепко задумался. Была мысль опять вернуться к версии о «супер вирусе», но я решил поподробнее поизучать меню роутера.

И точно, во вкладке локальной сети также оказалось поле для DNS серверов, а в нём оказался IP адрес:

Очистка этой записи и сброс кэша DNS сразу вернули в чувство не только компьютер, но и мобильных младших братьев.

Что могут взять из моего роутера?

Резонный вопрос. Что там сделают, если получат к нему доступ? Украдут заводскую прошивку? На самом деле, получив доступ к роутеру злоумышленник сразу получает:

  • пароль Wi-Fi
  • возможность сбрасывать и менять настройки
  • возможность подключаться к локальной сети и использовать снифферы
  • предыдущий пункт приведёт к утрате паролей от различный сайтов.

Это вполне типичный список и все про него хорошо знают. Интересно новый вариант, который я открыл для себя сегодня — вымогательство денег. Представьте себе ситуацию, когда вирус заразил компьютер, компьютер отказывается показывать какую-либо страницу, кроме предложения перечислить деньги. Причём вирус настолько изощрённый, что его не видит ни один антивирус, что даже переустановка операционной системы не приносит результата. Именно такое ощущение может возникнуть у не слишком искушённых пользователей.

Для каких устройств нужно менять стандартные пароли?

Для всех! Для роутеров, для веб-камер, для телевизоров, файловых серверов. Для всех программ, к которым можно залогиниться по Интернету, в том числе, например, для MySQL.

Насколько трудно взломать роутер?

Если у вас стандартный пароль, то его и взламывать не нужно. Для всех моделей стандартные пароли давным-давно выложены в Интернете. Какова вероятность, что кто-то узнает что у меня роутер/веб-камера/файловый сервер? Как они узнают мой IP адрес? Вероятность намного выше, чем вы можете думать. Существуют специальные программы (та же самая Nmap), которые просты в использовании. И, поверьте мне, каждый день огромное количество людей проводят сканирования. Может быть, каждый день кто-то «шелестит» по вашим открытым портам своими сканерами. Зачем рисковать там, где можно совсем обходиться без риска? Меняйте стандартные пароли на свои для всех устройств, так или иначе подключённых к Интернету!

Похожие темы

Взлом Wi-Fi пароля (WPA/WPA2), используя pyrit и c... Оговорка: Эта инструкция только для тренировочных и образовательных целей. Убедитесь, что у вас есть разрешение, перед тем, как атаковать точки доступ...
Как УЗНАТЬ пароль Windows? В этой статье будет описано как узнать пароль от Windows (любых версий), НЕ сбросить, НЕ изменить, а именно УЗНАТЬ. Сначала отступление Сбросить п...
ZMap – сетевой сканер с открытым исходным кодом... ZMap – это сетевой сканер с открытым исходным кодом, который позволяет легко выполнять исследования в Интернете. С отдельным устройством и хорошо сн...
Лучшие совместимые с Kali Linux USB Wi-Fi адаптеры... По материалам сайта wirelesshack.org, за наводку спасибо посетителю SVNSVNSVN Чтобы проводить тест на проникновение беспроводных сетей с Kali Linux н...
BruteX: программа для автоматического брутфорса вс... BruteX — это скрипт, автоматизирующий работу других программ (смотрите зависимости). И этот скрипт является прекрасным примером, для чего нужн...