Сегодня обратились за помощью с интересной проблемой. Сразу несколько устройств в одной сети, подключённой по Wi-Fi, стали вместо загрузки страниц, показывать сайт с требованием заплатить куда-то 1000 рублей. Адрес сайта, на который происходило перенаправление, для вымогателей не новый — mvd.ru. Всё остальное также как обычно — ввести номер телефона, оплатить и т. д.
Интерес эта ситуация вызвала тем, что, как думалось, заражено одновременно несколько устройств сети — компьютер на Windows и пара адройд-устройств.
Это было интересно, так как вызвало вполне обоснованное предположение, что какой-то супер вирус не только проник, но и сумел инициировать заражение устройств другого класса.
Анализ было решено начать с компьютера. Антивирус ничего не находил. Файл hosts оказался пустым и это вызвало некоторое недоразумение — как, собственно, так? Хорошо, были проверены свойства сетевых адаптеров, а именно — записи DNS серверов. Они оказались пустыми.
Вернулись к мобильным гаджетам и воспользовались другим источником Интернета — никакого перенаправления на mvd.ru не было. Стало окончательно понятно, что дело в роутере.
Роутером оказался красавец ASUS RT-N66U с кастомной прошивкой — мощная штука, надо сказать. И хотя моделька уже несколько лет как не флагман, она может дать фору очень многих современным устройствам. Сразу же внимание было обращено на DNS сервера. Там были какие-то адреса (к сожалению, удалили не сохранив) — то ли от провайдера, то ли от злоумышленника. Их поменяли на привычные 8.8.8.8 и 8.8.4.4, сохранили, сбросили кэш DNS на компьютере:
ipconfig /flushdns
Была обнаружена поднятая «левая» VPN сеть. Она также была отключена. А проблема никуда не исчезла. Скажу честно, в этом месте я крепко задумался. Была мысль опять вернуться к версии о «супер вирусе», но я решил поподробнее поизучать меню роутера.
И точно, во вкладке локальной сети также оказалось поле для DNS серверов, а в нём оказался IP адрес:
178.140.14.7
Очистка этой записи и сброс кэша DNS сразу вернули в чувство не только компьютер, но и мобильных младших братьев.
Что могут взять из моего роутера?
Резонный вопрос. Что там сделают, если получат к нему доступ? Украдут заводскую прошивку? На самом деле, получив доступ к роутеру злоумышленник сразу получает:
- пароль Wi-Fi
- возможность сбрасывать и менять настройки
- возможность подключаться к локальной сети и использовать снифферы
- предыдущий пункт приведёт к утрате паролей от различный сайтов.
Это вполне типичный список и все про него хорошо знают. Интересно новый вариант, который я открыл для себя сегодня — вымогательство денег. Представьте себе ситуацию, когда вирус заразил компьютер, компьютер отказывается показывать какую-либо страницу, кроме предложения перечислить деньги. Причём вирус настолько изощрённый, что его не видит ни один антивирус, что даже переустановка операционной системы не приносит результата. Именно такое ощущение может возникнуть у не слишком искушённых пользователей.
Для каких устройств нужно менять стандартные пароли?
Для всех! Для роутеров, для веб-камер, для телевизоров, файловых серверов. Для всех программ, к которым можно залогиниться по Интернету, в том числе, например, для MySQL.
Насколько трудно взломать роутер?
Если у вас стандартный пароль, то его и взламывать не нужно. Для всех моделей стандартные пароли давным-давно выложены в Интернете. Какова вероятность, что кто-то узнает что у меня роутер/веб-камера/файловый сервер? Как они узнают мой IP адрес? Вероятность намного выше, чем вы можете думать. Существуют специальные программы (та же самая Nmap), которые просты в использовании. И, поверьте мне, каждый день огромное количество людей проводят сканирования. Может быть, каждый день кто-то «шелестит» по вашим открытым портам своими сканерами. Зачем рисковать там, где можно совсем обходиться без риска? Меняйте стандартные пароли на свои для всех устройств, так или иначе подключённых к Интернету!