Este artigo foi criado para explicar o que é exatamente o malware VPNFilter e como proteger sua rede contra esta infecção maciça por proteger o seu router, bem como proteger os seus computadores.
Um novo malware, que vai pelo nome de VPNFilter já teria infectado mais 500 mil dispositivos router em todo maioria das marcas amplamente utilizadas, tais como Linksys, MikroTik, NETGEAR, bem como TP-Link, usado principalmente em casas e escritórios. Os pesquisadores cyber-seg a Cisco Talos relataram que a ameaça é real e é ao vivo, até pensei os dispositivos infectados estão sob investigação no momento. O malware alegadamente tem algo a ver com o malware BlackEnergy, qual dispositivos múltiplos orientados na Ucrânia e sistemas de controle industrial nos EUA. Se você quiser saber mais sobre o malwares VPNFilter e saiba como você pode removê-lo a partir de sua rede além de proteger a sua rede, aconselhamos que você leia este artigo.
Resumo ameaça
| Nome | VPNFilter |
| Tipo | Internet das coisas Trojan (Infostealer) e Infecção Botnet |
| Pequena descrição | Objectivos para infectar redes completas e roubar informações de rede crítica mais retransmiti-lo para os hosts de terceiros. |
| Os sintomas | Seu computador e web browser pode levar você a sites de phishing através do qual os bandidos podem coletar informações importantes. |
| distribuição Método | vermes via, rede de bots e outros métodos de infecção automatizados. |
| Ferramenta de detecção |
Veja se o seu sistema foi afetado por malware
Baixar
Remoção de Malware Ferramenta
|
Experiência de usuário | Participe do nosso Fórum para discutir VPNFilter. |
VPNFilter Malware - como Infect
O malware VPNFIlter usa um método de infecção de dois fase muito complicada, cujo resultado é o seu computador para se tornar uma vítima de recolha de informações e operação desctruction mesmo.
Palco 1 da infecção (Carregador)
O primeiro estágio deste vírus envolve a reinicialização do seu roteador ou hub. Uma vez que os alvos VPNFilter de malware principalmente roteadores, bem como outros dispositivos de internet-de-coisas, assim como o Mirai programa malicioso se pode surgir como uma consequência de um ataque de rede de bots automatizado que é Unleased como um resultado de servidores centrais serem comprometidos successufully. A infecção no entanto é conduzido no auxílio de um explorador que acciona uma reinicialização do dispositivo inteligente. O objetivo principal desta etapa 1 é ganhar controlo parcial e permitir a implantação da Fase 2 após o processo de reinicialização tenha terminado. As fases de Fase 1 são as seguintes:
1.Puxa para baixo uma foto do Photobucket.
2.Exploits são acionados e metadados são utilizados, a fim de chamar endereços IP.
3.Ligações para o Palco 2 servidor e de downloads do palco 2 malwares depois que executa automaticamente.
As URLs assoicated com a primeira fase da infecção são relatados pelos pesquisadores para ser as bibliotecas de usuários falso Photobucket:
→ Photobucket[.]com / user / nikkireed11 / biblioteca
Photobucket[.]com / user / kmila302 / biblioteca
Photobucket[.]com / user / lisabraun87 / biblioteca
Photobucket[.]com / user / eva_green1 / biblioteca
Photobucket[.]com / user / monicabelci4 / biblioteca
Photobucket[.]com / user / katyperry45 / biblioteca
Photobucket[.]com / user / saragray1 / biblioteca
Photobucket[.]com / user / millerfred / biblioteca
Photobucket[.]com / user / jeniferaniston1 / biblioteca
Photobucket[.]com / user / amandaseyfried1 / biblioteca
Photobucket[.]com / user / suwe8 / biblioteca
Photobucket[.]com / user / bob7301 / biblioteca
ATUALIZAÇÃO julho 2018: Os relatórios de segurança indicam que a vulnerabilidade VPNFilter afeta os seguintes fornecedores e modelos:
- ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, e RT-N66U.
- D-Link - ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, e RT-N66U.
- Huawei - HG8245.
- Linksys - E1200, E2500, E3000 E3200, E4200, RV082, e WRVS4400N.
- MikroTik - CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB sulco, RB Omnitik, e STX5.
- Netgear - DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, e UTM50.
- QNAP - TS251, TS439 Pro, e outros dispositivos QNAP NAS executando o software QTS.
- TP-LINK - R600VPN, TL-WR741ND, e TL-WR841N.
- Ubiquiti - NSM2 e PBE M5.
- ZTE - ZXHN H108N.
Os analistas também descobriram as vulnerabilidades específicas utilizadas para os dispositivos mencionados:
QNAP Serviço FTP (Authentication Bypass Vulnerability CVE-2015-7261), D-Link DIR-300 (Execução Remota de Código Reaper CVE-2011-4723),
ASUS RT-AC66U, RT-N66U (Execução Remota de Código CVE-2014-9583),
Linksys E2500 (Reaper OS Command Injection CVE-2013-2678), Vulneráveis Serviço UPnP (por exemplo. Netgear / TP-Link / D-Link) (Buffer Overflow Vulnerability CVE-2013-0229, Vulnerabilidade de estouro de pilha
CVE-2013-0230, Stack Overflow Vulnerability CVE-2012-5958, Stack Overflow VulnerabilityCVE-2012-5959), QNAP QTS antes 4.2.4 Construir 20170313 (Execução Remota de Código CVE-2017-6361),
ASUS RT-AC * e RT-N * (Router JSONP Informações Leak CVE-2017-8877), Netgear R6400, R7000, R8000 (Router senha Divulgação CVE-2017-5521),
D-Link DIR-300 (Reaper Router Execução Remota de Código),
Netgear WNR2000 (Divulgação senha Router), Netgear R6400, R7000 (Execução Remota de Código CVE-2016-6277),
ASUS RT-N66U (Router Sessão Roubos CVE-2017-6549), Linksys E4200 (OS Command Injection CVE-2013-2679),
Netgear WNR1000 (Vulnerabilidade de desvio de autenticação, Divulgação senha Router),
TP-Link TL-WR841N (Vulnerabilidade não autenticado roteador de acesso).
Palco 2 da infecção
Uma vez que a segunda fase da infecção é desencadeada as capacidades reais da malwares VPNFilter são desencadeados. Eles incluem o uso do vírus nas seguintes atividades:
- Liga-se a um C&servidor C.
- Ligações para um estágio 3 Servidor.
- executa Tor, P.S. e outros plugins.
- Executa as atividades maliciosas do malware, que incluem a recolha de dados, execução de comandos, roubo de arquivo, gerenciamento de dispositivo.
- Capaz de executar a atividade auto-destruição.
Os endereços IP associados com o segundo estágio da infecção são relatados pelos pesquisadores para ser o seguinte:
→ 91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
Em adição a estas duas fases, os pesquisadores cyber-segurança em Cisco Talos têm também informou de uma 3ª Etapa Servidor em jogo, o propósito de que permanece até agora para ser desconhecido. Pelo que parece, este malware já está se preparando para ser uma infecção muito sofisticado e não deve ser subestimada, uma vez que de taxa de infecção pode subir.
VPNFilter Botnet Malware - atividades maliciosas
As principais atividades que têm sido associados com o malwares VPNFilter foram relatados para ser dividido em duas partes por pesquisadores de malware, o primeiro conjunto de quais são as atividades pré-operacionais que reúnem informações antes de realmente executar as atividades objetivo final. Além desta, os especialistas Cisco Talos também relataram semelhanças na malwares VPNFilter e o previamente relatado BlackEnergy Internet das coisas botnet, que foi usado para as organizações-alvo e governos na U.S. e na Ucrânia. O malware usado o mesmo tipo fase saparate de módulos de infecção que é um sinal que pode ser usado pelas mesmas pessoas por trás da infecção BlackEnergy.
A actividade do malwares VPNFilter começa com a sua fase preparational que em primeiro lugar verifica a saída e TCP de entrada / tráfego IPv4. Ele faz essa verificação, a fim de compreender que o endereço IP de destino corresponde ao que ele foi encontrado quando o ouvinte está ativo. Se isto é assim, os proceedes vírus para se certificar de que o embalado tem oito ou mais bytes e scanss os dados para específica bytes depois. Assim que isso for feito, o vírus inicia um processo de chamada para um endereço IP recém-recebido que era basicamente os bytes-lo verificado e isso resulta em sua fase 2 para iniciar.
A segunda etapa, este malware faz muito mais do que o primeiro, que é basicamente, carregador de VPNFilter. A etapa inclui a criação dos seguintes diredctory no dispositivo da vítima:
→ /var / run / vpnfilterm (m é para o directório de módulos)
/var / run / vpnfilterw (w é para o diretório de trabalho)
Então, o malware começa a matar diferentes módulos e Substituir dados neles, um desses módulos está:
→ /dev / mtdblock0 (É o primeiro 5,000 bytes são substituídos com zeros e o dispositivo é reinicializado)
Depois de feito isso, a malwares VPNFilter executa um comando shell e, em seguida, define-se da configuração do Tor, que em sua assegura por sua vez que o anonimato é habilitado. Assim que isso for feito, o vírus copia um arquivo de que é cliente diretamente para o servidor. não VPNFilter não pára por aí no entanto – o Botner malwares goeas tão longe como para definir dois tipos de URLs:
- Defina um URL no painel de configuração da configuração atual do dispositivo.
- Defina um URL personalizado na configuração de proxy atual.
Quando o vírus estabeleceu um URL, procede-se no sentido de mexer com as definições da porta, alterando a porta proxy padrão e definindo um atraso entre os principais execuções ansa.
Depois de fazer todas essas ações nefastas, o malware reinicia o dispositivo de Internet das coisas por mais tempo do que o normal e, em seguida, o download de um URL após o que poupa-lo em um arquivo. Além de tudo isso, ele pode parar o processo de infecção meados de infecção ou, eventualmente, atrasar.
O malware então prossegue para a sua terceira fase que ainda não tenha sido divulgada pelos pesquisadores como eles ainda podem estar no processo de analisá-lo, mas acredita-se que a terceira fase está relacionada com o propósito da malwares, o qual é a:
- Roubar informações diferentes de cada dispositivo na rede.
- Roubar dados de rede.
- Obter senhas e dados de comunicação.
- Obter as teclas digitadas e outros dados.
- Alterar os parâmetros no dispositivo ou alterar parâmetros da Internet das coisas sobre os dispositivos finais na rede, a fim de torná-los vulneráveis a infecções por malware.
Os dispositivos que têm sido até agora comprometidos podem ser encontrados na lista a seguir, que os pesquisadores Cisco Talos até agora têm se reuniram para estar entre os 100% os infectados:
Além desses dispositivos, Os pesquisadores também relataram TP-Link, Netgear, Linksys e outros roteadores ISP personalizado e dispositivos da Internet das coisas a ser também entre os 500,000 infectado como eles acreditam que o malware pode ser mais avançado do que o seu botnet média em estado selvagem. Uma característica perigosa do malware VPNFilter é sua capacidade de monitorar protocolos Modbus SCADA. Este é um dos protocolos de comunicação mais populares de série que é usado na indústria para automatizado Internet das coisas dispositivos. O protocolo pode ser implementado usando vários tipos de conexão e continua sendo um dos mais versáteis formas de dispositivos de controle.
Como remover o VPNFilter Malware e proteger sua rede de It
Quando falamos de malware no nível de VPNFilter, um simples limpeza e de reposição do seu roteador não vai cortá-la para a remoção, uma vez que o malware pode ser uma ameaça complicado que pode profundamente incorporar objetos no firmware de seu roteador como explicado nos pontos “atividade” acima. Isso é por que, o primeiro passo é verificar se a rede foi comprometida por este malware. pesquisadores da Cisco aconselhamos fazer isso, seguindo estes passos:
Degrau 1: Criar um novo grupo de hosts com o nome “VPNFilter C2” e torná-lo a estar sob os Hosts exterior através de Java UI.
Degrau 2: Uma vez feito, Validar que o grupo não se comunicar no momento, verificando as “conversas” do próprio grupo em seu dispositivo.
Degrau 3: Se não houver tráfego ativo, pesquisadores aconselham administators de rede para criar um tipo de cabo de disparo de alarme que notifica assim que houver tráfego no grupo host via a criação de um evento e selecionar o host na interface de usuário da web.
além disso, a fim de se certificar de que sua rede é segura, bem como privadas, nós recomendamos que você escolha um dispositivo roteador mais seguro, mas tenha em mente que um dispositivo é seguro, pois de software, então você deve certificar-se também configurar uma VPN e para além disso para falar com o seu ISP, a fim de se certificar de que a conexão é protegido ao longo do caminho também. Abaixo, pode encontrar uma lista do a maioria dos roteadores seguros e os melhores dispositivos NAS entre os quais você pode escolher o que é apropriado para sua rede:
→relacionado:O mais seguro dispositivos NAS Em 2017
→relacionado:Quais são os mais Routers seguros em 2017
E para a segurança do dispositivo final, aconselho que você equipar sua organização com dispositivos personalizados configurado e manter as informações de configuração divulgados até mesmo para os funcionários da empresa, uma vez que este minimalizes o risco de uso.
E como sempre, pesquisadores de segurança aconselham a garantir os-dispositivos finais de sua organização, bem, uma vez que muitas vezes se tornam o “paciente zero” de tais infecções. Aqui estão algumas dicas que você pode seguir para proteger dispositivos finais contra malware:
Degrau 1: instalar uma software avançado anti-malwareem cada dispositivo. Ele vem de fábrica com proteção em tempo real ativa e atualizações frequentes.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Degrau 2: programas executados em caixa de areia meio Ambiente. Ela impede qualquer tipo executado de malware para executar de forma eficaz no seu computador, isolando-lo dentro de uma camada criptografada que funciona como um muro de proteção.
Degrau 3: Certifique-se de que os usuários em sua rede estão cientes de diferentes Router riscos de segurança que pode tornar-se de deficiências a um cluster real dores de cabeça.
Degrau 4: Certifique-se de educar seus funcionários sobre como armazenar com segurança seus arquivos para protegê-los contra malware.
Ventsislav Krastev
Ventsislav é especialista em segurança cibernética na SensorsTechForum desde 2015. Ele tem pesquisado, cobertura, ajudando vítimas com as mais recentes infecções por malware, além de testar e revisar software e os mais recentes desenvolvimentos tecnológicos. Formado marketing bem, Ventsislav também é apaixonado por aprender novas mudanças e inovações em segurança cibernética que se tornam revolucionárias. Depois de estudar o gerenciamento da cadeia de valor, Administração de rede e administração de computadores de aplicativos do sistema, ele encontrou sua verdadeira vocação no setor de segurança cibernética e acredita firmemente na educação de todos os usuários quanto à segurança e proteção on-line.
mais Posts - Local na rede Internet
Me siga:
Preparação antes de remover VPNFilter.
Antes de iniciar o processo de remoção real, recomendamos que você faça as seguintes etapas de preparação.
- Verifique se você tem estas instruções sempre aberta e na frente de seus olhos.
- Faça um backup de todos os seus arquivos, mesmo se eles poderiam ser danificados. Você deve fazer backup de seus dados com uma solução de backup em nuvem e segurar seus arquivos contra qualquer tipo de perda, até mesmo da maioria das ameaças graves.
- Seja paciente, pois isso pode demorar um pouco.
- Verificar malware
- Corrigir registros
- Remover arquivos de vírus
Degrau 1: Digitalizar para VPNFilter com SpyHunter Anti-Malware Ferramenta
Degrau 2: Limpe quaisquer registros, criado por VPNFilter no seu computador.
Os registros normalmente alvo de máquinas Windows são os seguintes:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Você pode acessá-los abrindo o editor de registro do Windows e excluir quaisquer valores, criado por VPNFilter lá. Isso pode acontecer, seguindo os passos abaixo:
Gorjeta: Para encontrar um valor criado-vírus, você pode botão direito do mouse sobre ela e clique "Modificar" para ver qual arquivo é definido para ser executado. Se este é o local do arquivo de vírus, remover o valor.Degrau 3: Find virus files created by VPNFilter on your PC.
1.Para Windows 8, 8.1 e 10.
Por mais recentes sistemas operacionais Windows
1: Em seu teclado, pressione + R e escrever explorer.exe no Corre caixa de texto e clique no Está bem botão.
2: Clique em o seu PC na barra de acesso rápido. Isso geralmente é um ícone com um monitor e seu nome é ou “Meu Computador”, "Meu PC" ou “Este PC” ou o que você nomeou-o.
3: Navegue até a caixa de pesquisa no canto superior direito da tela do seu PC e digite "extensão de arquivo:” e após o qual digite a extensão do arquivo. Se você está à procura de executáveis maliciosos, Um exemplo pode ser "extensão de arquivo:Exe". Depois de fazer isso, deixe um espaço e digite o nome do arquivo você acredita que o malware tenha criado. Aqui está como ele pode aparecer se o arquivo foi encontrado:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Para o Windows XP, Vista, e 7.
Para mais velhos sistemas operacionais Windows
Nos sistemas operacionais Windows mais antigos, a abordagem convencional deve ser a mais eficaz.:
1: Clique no Menu Iniciar ícone (normalmente em seu inferior esquerdo) e depois escolher o Procurar preferência.
2: Após as aparece busca janela, escolher Mais opções avançadas a partir da caixa assistente de pesquisa. Outra forma é clicando em Todos os arquivos e pastas.
3: Depois que tipo o nome do arquivo que você está procurando e clique no botão Procurar. Isso pode levar algum tempo após o qual resultados aparecerão. Se você encontrou o arquivo malicioso, você pode copiar ou abrir a sua localização por Botão direito do mouse nele.
Agora você deve ser capaz de descobrir qualquer arquivo no Windows, enquanto ele está no seu disco rígido e não é escondido via software especial.
VPNFilter FAQ
What Does VPNFilter Trojan Do?
The VPNFilter troiano é um programa de computador malicioso projetado para atrapalhar, danificar, ou obter acesso não autorizado para um sistema de computador.
Pode ser usado para roubar dados confidenciais, obter controle sobre um sistema, ou iniciar outras atividades maliciosas.
Trojans podem roubar senhas?
sim, Trojans, like VPNFilter, pode roubar senhas. Esses programas maliciosos are designed to gain access to a user's computer, espionar vítimas e roubar informações confidenciais, como dados bancários e senhas.
Can VPNFilter Trojan Hide Itself?
sim, pode. Um Trojan pode usar várias técnicas para se mascarar, incluindo rootkits, criptografia, e ofuscação, para se esconder de scanners de segurança e evitar a detecção.
Um Trojan pode ser removido por redefinição de fábrica?
sim, um Trojan pode ser removido redefinindo o seu dispositivo para os padrões de fábrica. Isso ocorre porque ele restaurará o dispositivo ao seu estado original, eliminando qualquer software malicioso que possa ter sido instalado. Ter em mente, que existem Trojans mais sofisticados, que deixam backdoors e reinfectam mesmo após a redefinição de fábrica.
Can VPNFilter Trojan Infect WiFi?
sim, é possível que um Trojan infecte redes Wi-Fi. Quando um usuário se conecta à rede infectada, o Trojan pode se espalhar para outros dispositivos conectados e pode acessar informações confidenciais na rede.
Os cavalos de Tróia podem ser excluídos?
sim, Trojans podem ser excluídos. Isso geralmente é feito executando um poderoso programa antivírus ou antimalware projetado para detectar e remover arquivos maliciosos. Em alguns casos, a exclusão manual do Trojan também pode ser necessária.
Trojans podem roubar arquivos?
sim, Trojans podem roubar arquivos se estiverem instalados em um computador. Isso é feito permitindo que o autor de malware ou usuário para obter acesso ao computador e, em seguida, roubar os arquivos armazenados nele.
Qual Anti-Malware Pode Remover Trojans?
Programas anti-malware como SpyHunter são capazes de verificar e remover cavalos de Tróia do seu computador. É importante manter seu anti-malware atualizado e verificar regularmente seu sistema em busca de software malicioso.
Trojans podem infectar USB?
sim, Trojans podem infectar USB dispositivos. Cavalos de Troia USB normalmente se espalham por meio de arquivos maliciosos baixados da Internet ou compartilhados por e-mail, allowing the hacker to gain access to a user's confidential data.
About the VPNFilter Research
O conteúdo que publicamos em SensorsTechForum.com, this VPNFilter how-to removal guide included, é o resultado de uma extensa pesquisa, trabalho árduo e a dedicação de nossa equipe para ajudá-lo a remover o problema específico do trojan.
How did we conduct the research on VPNFilter?
Observe que nossa pesquisa é baseada em uma investigação independente. Estamos em contato com pesquisadores de segurança independentes, graças ao qual recebemos atualizações diárias sobre as definições de malware mais recentes, incluindo os vários tipos de trojans (Porta dos fundos, downloader, Infostealer, resgate, etc.)
além disso, the research behind the VPNFilter threat is backed with VirusTotal.
Para entender melhor a ameaça representada por trojans, por favor, consulte os seguintes artigos que fornecem detalhes conhecedores.
Se eu queria ver se minha rede é afetada eu poderia correr uma captura Wireshark no meu gateway e basta olhar para a fase dois do IP públicos?