Вирусная эпидемия в сети Ростелеком. Методика борьбы.

Опубликовано: 2017-07-31 08:22:47Последнее обновление: 2022-03-28 03:18:34

Здравствуйте.
По ориентировочной информации, компьютеры и ноутбуки на базе Windows абонентов Ростелеком некоторых регионов, подключенные по телефонной линии ADSL, были подвержены вирусной атаке, в результате которой на компьютер проник вирус, воздействующий на ADSL-модемы старого образца.

Подтверждённые регионы:
Ставропольский Край и регионы
Краснодарский Край и регионы
Ростов-на-Дону и регионы
Таттелеком
возможно и в других регионах, и у других провайдеров

Пострадавшее ADSL оборудование: ТОЛЬКО на базе прошивки от 2012 года
TD-W8901G, TD-W8151N, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8816, TD-8817 .
Обновление до прошивок от 2014 года и новее защищает устройство.

Способы борьбы:
1. Следует использовать любой доступный источник интернета для того, чтобы скачать полноценный антивирус и выполнить полную проверку всех компьютеров. Мы рекомендуем использовать Др.Веб или как минимумп просканировать компьютер утилитой Dr.Web CureIt, т.к. некоторые другие антивирусы (например Аваст, Касперский, НОД32) не помогают в данной ситуации.

2. Скачать прошивку для вашей модели роутера ниже по ссылкам.
Для проверки аппаратной версии вашего устройства TP-LINK, переверните его и посмотрите на наклейку на нижней панели.
В поле, где указан серийный номер (Serial Number) находится символьная строка “Ver: X.Y” (например, Ver: 1.0),
в которой цифра Х – это аппаратная версия устройства.
То есть, если строка выглядит так – “Ver: 1.1” – это значит, что аппаратная версия устройства – V1.

TD-W8951N ver 5
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8961ND ver3
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8961N ver1
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8961N ver2
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8151N ver3
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8901N ver1
Прошивка №1
Прошивка №2
Зеркало Яндекс

Модели или версии нет в списке? [spoiler=Моей модели роутера или его апаратной версии нет в этом списке]Попробуйте самостоятельно выполнить поиск прошивки.
Для этого зайдите на официальный сайт, в правом верхнем углу в строке поиска, вбейте вашу модель, можно только цифры, например 8961
Перейдите в вашу модель, затем Поддержка - выберите вашу аппаратную версию, ниже "Встроенное ПО".
Если там вы увидите прошивки только за 2012 год (по дате публикации), значит это совсем старое устройство, снятое с производства до 2009 года. Обновить его не получится. В свете новых угроз и вызовов, криптовирусов и других угроз, рекомендуем рассмотреть вариант покупки нового современного роутера. 3. Выполнить на роутере сброс настроек на заводские.
Для этого при включённом питании нажимаем и удерживаем кнопку RESET до тех пор, пока все индикаторы не загорятся и не погаснут.

4. Зайти в настройки роутера и выполнить обновление.
Процесс обновления прошивки - очень важный и ответственный шаг в эксплуатации вашего устройства.

Существует несколько аппаратных версий вашего устройства.

Неправильно выбранная прошивка может повредить ваше устройство и сделать вашу гарантию недействительной.

НЕ выключайте устройство во время обновления. Важно понимать, что прерванный процесс перепрошивки выведет ваше устройство из строя.

НЕ выполняйте обновление программного обеспечения по беспроводной сети. Пользуйтесь только кабельным подключением Компьютер - LAN порт модема. Если на этом компьютере также есть wi-fi подключение, его в обязательном порядке следует отключить.

Процесс обновления прошивки:

1. Скачиваем нужный архив прошивки (сначала Прошивка №1, затем Прошивка №2. Ставить нужно обе в логической последовательности), внутри которого находится файл *.ras . Этот файл сначала надо разархивировать.

2. Отключаем Wi-Fi подключение на компьютере.

3. Подключаемся через кабель в порт LAN.

4. Открываем браузер Internet Explorer и в строке адреса пишем http://192.168.1.1/

5. Для доступа на WEB интерфейс устройства у вас запросят логин/пароль по умолчанию admin/admin (пароль рекомендуем изменить на более сложный в дальнейшем, в разделе Maintenance→Administration, см. конец этого сообщения)

6. Зайдя на WEB интерфейс устройства переходим в меню "Maintenance" ("Эксплуатация устройства") и выбираем там подменю "Firmware" (Обновление ПО)

7. Выберите файл прошивки через Browse(Обзор), затем нажмите Upgrade (Обновить).

Если у вас возникают ошибки во время обновления, то:

1) Вы выбрали не ту версию прошивки для своего модема/роутера
2) Выполните обновление через другой браузер (рекомендуется использовать Internet Explorer)

4. После успешного обновления прошивки, всё готово к тому, чтобы настроить роутер и выйти в интернет.
Для этого воспользуйтесь меню Quick Setup (Быстрая Настройка) - укажите данные по договору VPI VCI , имя пользователя и пароль.
Если вы не знаете этих данных и не можете найти в договоре, свяжитесь с Ростелеком для уточнения.
После успешной настройки, работа Интернет будет восстановлена.

Для всех моделей!
После антивирусной проверки и перенастройки роутера, даже если перепрошить роутер не представляется возможным, следует проверить в его меню настройки [spoiler=Если у вас так] Если у вас так же как на этой картинке выше под спойлером, обязательно перенастройте - сделайте как на картинке ниже под спойлером: [spoiler=Должно быть так] Изменение пароля!
Рекомендуем изменить пароль для доступа на WEB интерфейс устройства (по умолчанию admin/admin), на более сложный, в разделе Maintenance (Эксплуатация устройства) → Administration (Администрирование). Он должен содержать в обязательном порядке специальные знаки типа #,@,$.//, т.к. простых буквенно-цифровых значений хватает максимум на день от брутфорса вирусом. Обязательно запишите (скопируйте в файл) новый пароль, чтобы не забыть его.

Комментировать

Goodwin_ruLV62017-07-31 20:23:33

[quote="marina.litvinova"]Уже проверила:
1. 21,2 26,0
2. 31,1 16,9
3. 21,1 12,2[/quote] В пределах нормы. В таком случае обязательно проверять VPI VCI , логин и пароль.
Можно для проверки сбросить настройки на роутере, затем на ПК создать подключение PPPoE
Указать там логин и пароль, которые вы в роутере вводили. Если ошибка, то какая при подключении?
PS v3 на прошивке 2016 года 100% вирусу не подвержены, лично звонил абоненту Ростелека и он подтверждал, что в течении 5 дней проблемы более нет.

GlaZLV02017-07-31 21:00:58

Вопрос, как быть со старыми модемами, в утиль?
В Ростелекоме так же советуют менять IP адрес, получается для старых моделей:
1. сбрасываем
2. перенастраиваем профиль учетки от провайдера
3. меняем IP на другой диапазон
4. меняем пароль для входа веб интерфейс (не менее 10 символов, с присутствием знаков %$ и регистра)
так?

Goodwin_ruLV62017-07-31 21:05:49

Glaz, отредактировал ваше сообщение. Пожалуйста повнимательнее ознакомьтесь с правилами форума, на которые вы соглашаетесь при регистрации. [quote]Вопрос, как быть со старыми модемами, в утиль?[/quote] Ответил на этот вопрос вам ещё на первой странице - продублирую



И на 8151 v1 и на 8901g прошивок нет, поэтому лечим ПК, сброс настроек, перенастройка, после чего проблема должна уйти.

Изменение ip-адреса, провайдерские учётки - это дела провайдерские, тут я подсказать не могу. [quote]меняем пароль для входа веб интерфейс (не менее 10 символов, с присутствием знаков %$ и регистра)[/quote] Если вирус с ПК не удалить, то это вопрос времени, когда он подберёт этот сложный пароль. Если почитать статью, на которую я давал ссылку, то по нашим данным именно этот вирус (или его новая модификация) атакует сеть Ростелекома. Вирус использует математический подбор пароля на роутер, а это значит, что неделя, или две - и ваш сложный пароль будет подобран. Поэтому только лечение и надёжная защита на будущее.

marina.litvinovaLV02017-07-31 21:19:52

Мне в Ростелекоме посоветовала их "технический специалист" сменить модем Тп-Линк на модем любой другой фирмы. Это дословно. Мне все же интересна причина случившегося. А новый модем настраивала под пошаговым руководством (предварительно уточнив у РТ все данные VCP/VCI и прочее) двух достаточно квалифицированных специалистов, которые помогали не раз справляться с проблемами, связанными с компами. И два человека, которые не знают друг друга посоветовали одно и то же - разбираться с РТ.

Goodwin_ruLV62017-07-31 21:31:15

Марина,
Рекомендация сброса на заводские (режим bridge) и настройка PPPoE на ПК в силе. Так вы точно узнаете номер ошибки при подключении (если он будет).

Alex_anderLV02017-07-31 22:56:21

Если у абонента роутер одной из подверженных взлому моделей, а из клиентских устройств например только айпад, то заражение трояном исключено?

Andrias2003LV02017-08-01 04:58:37

Читал ветку и ужасался, как же выкручивается Гудвин. Теперь по пунктам.
1) атака была win32.sector и rbrute. Данные черви могут сидеть в засаде годами. Тогда причем тут РТК?
2) Брутятся 10 стандартных паролей. вина юзера, что пароль не менялся.
3) Со стороны РТК - тысячи пользователь саджемов, зикселей и тд даже не знают об этой атаке!
4) Баг выявлен еще в 14 году, можно было бы и пофиксить за 3 года.
5) по поводу айпада не могу найти новость, но читал что студент из зимбабве писал об уязвимости из вне.

aleksandr.malyshenkoLV02017-08-01 05:19:47

Подскажите, прошивка 1 устанавливается, прошивка 2 пишет ошибку ERROR: FAIL TO UPDATE DUE TO... The uploaded file was not accepted by the router. что делать ? Спасибо прошивка V3 для TD W8151N. после прошивки 1 пишет что установлена версия прошивки 3.0.0 Build 120530 Rel.31118.

sergey004LV02017-08-01 07:20:21

В ADSL роутерах где прошивка 2012 года, сначала надо прошить прошивкой начала 2014, а потом нормально загружается прошивка 2016 г.
Для версий модемов где нет свежей прошивки в разделе Access Management выставить пул из одного IP адреса (который не раздается по DHCP , к примеру 192.168.1.253, не забудьте на своем компьютере прописать вручную этот IP, после настройки убрать), сменить пароль состоящий более 12 символов.
Далее смотреть если не поможет, можно модем настроить в bridge, и приобрести просто роутер (они дешевле).

Goodwin_ruLV62017-08-01 08:04:07

[quote]Если у абонента роутер одной из подверженных взлому моделей, а из клиентских устройств например только айпад, то заражение трояном исключено?[/quote] Трудно сказать, т.к. это вопрос больше в области работы данных вирусов. Есть вероятность, что к устройству всё равно имеют доступ другие устройства (например соседи), либо же атака идёт извне. Есть вероятность, что на очень старых устройствах доступ на роутер может быть открыт извне, тогда нужно в настройке ACL запретить доступ из WAN, оставить только LAN.
[quote]1) атака была win32.sector и rbrute. Данные черви могут сидеть в засаде годами. Тогда причем тут РТК?[/quote] В моём понимании вопрос безопасности пользователей в т.ч. ложится на оператора связи. Почему в данном случае заразились ТОЛЬКО абоненты РТК? Это вопрос к службе безопасности оператора. В 2014 году была точно такая же ситуация у оператора МТС. Загляните в тему http://forum.tp-linkru.ru/viewtopic.php?f=2&t=6013 . МТС тогда смогли оперативно среагировать и закрыть источник распространения заразы. Это к вопросу кто тут ещё выкручивается. Если rbrute годами сидит и ждёт в засаде, известно что он ориентирован на определённые самые продаваемые модели ADSL, оператор с лёгкостью может посчитать в % сколько у него потенциально могут клиентов пострадать, значит он может заранее принять меры. Опять же - по вашей логике получается, что rbrute заразил компьютеры пользователей ещё в 2014 году и сидел в засаде с этих пор на компьютерах пользователей. Почему же тогда многие крупные операторы связи предлагают пользователям в качестве бонуса - бесплатный антивирус Касперский, др. веб и другие? Видимо не просто так.
[quote]2) Брутятся 10 стандартных паролей. вина юзера, что пароль не менялся.[/quote] Это не правда, по нашей информации речь идёт о подборе. Приведите прув - ссылку на авторитетный источник, что это не так.
[quote]3) Со стороны РТК - тысячи пользователь саджемов, зикселей и тд даже не знают об этой атаке![/quote] Равно как и миллионы других пользователей на других операторах связи.
[quote]4) Баг выявлен еще в 14 году, можно было бы и пофиксить за 3 года.[/quote] Это не баг, а уязвимость. Она была выявлена и зашита ещё в 2014 году. Нужно просто обновить прошивку. Почему РТК не рекомендует обновлять свои устройства? Какой регламент и кем созданный это запрещает? Хотя бы в качестве рекомендации