Вирусная эпидемия в сети Ростелеком. Методика борьбы.

Опубликовано: 2017-07-31 08:22:47Последнее обновление: 2022-03-28 03:18:34

Здравствуйте.
По ориентировочной информации, компьютеры и ноутбуки на базе Windows абонентов Ростелеком некоторых регионов, подключенные по телефонной линии ADSL, были подвержены вирусной атаке, в результате которой на компьютер проник вирус, воздействующий на ADSL-модемы старого образца.

Подтверждённые регионы:
Ставропольский Край и регионы
Краснодарский Край и регионы
Ростов-на-Дону и регионы
Таттелеком
возможно и в других регионах, и у других провайдеров

Пострадавшее ADSL оборудование: ТОЛЬКО на базе прошивки от 2012 года
TD-W8901G, TD-W8151N, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8816, TD-8817 .
Обновление до прошивок от 2014 года и новее защищает устройство.

Способы борьбы:
1. Следует использовать любой доступный источник интернета для того, чтобы скачать полноценный антивирус и выполнить полную проверку всех компьютеров. Мы рекомендуем использовать Др.Веб или как минимумп просканировать компьютер утилитой Dr.Web CureIt, т.к. некоторые другие антивирусы (например Аваст, Касперский, НОД32) не помогают в данной ситуации.

2. Скачать прошивку для вашей модели роутера ниже по ссылкам.
Для проверки аппаратной версии вашего устройства TP-LINK, переверните его и посмотрите на наклейку на нижней панели.
В поле, где указан серийный номер (Serial Number) находится символьная строка “Ver: X.Y” (например, Ver: 1.0),
в которой цифра Х – это аппаратная версия устройства.
То есть, если строка выглядит так – “Ver: 1.1” – это значит, что аппаратная версия устройства – V1.

TD-W8951N ver 5
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8961ND ver3
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8961N ver1
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8961N ver2
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8151N ver3
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8901N ver1
Прошивка №1
Прошивка №2
Зеркало Яндекс

Модели или версии нет в списке? [spoiler=Моей модели роутера или его апаратной версии нет в этом списке]Попробуйте самостоятельно выполнить поиск прошивки.
Для этого зайдите на официальный сайт, в правом верхнем углу в строке поиска, вбейте вашу модель, можно только цифры, например 8961
Перейдите в вашу модель, затем Поддержка - выберите вашу аппаратную версию, ниже "Встроенное ПО".
Если там вы увидите прошивки только за 2012 год (по дате публикации), значит это совсем старое устройство, снятое с производства до 2009 года. Обновить его не получится. В свете новых угроз и вызовов, криптовирусов и других угроз, рекомендуем рассмотреть вариант покупки нового современного роутера. 3. Выполнить на роутере сброс настроек на заводские.
Для этого при включённом питании нажимаем и удерживаем кнопку RESET до тех пор, пока все индикаторы не загорятся и не погаснут.

4. Зайти в настройки роутера и выполнить обновление.
Процесс обновления прошивки - очень важный и ответственный шаг в эксплуатации вашего устройства.

Существует несколько аппаратных версий вашего устройства.

Неправильно выбранная прошивка может повредить ваше устройство и сделать вашу гарантию недействительной.

НЕ выключайте устройство во время обновления. Важно понимать, что прерванный процесс перепрошивки выведет ваше устройство из строя.

НЕ выполняйте обновление программного обеспечения по беспроводной сети. Пользуйтесь только кабельным подключением Компьютер - LAN порт модема. Если на этом компьютере также есть wi-fi подключение, его в обязательном порядке следует отключить.

Процесс обновления прошивки:

1. Скачиваем нужный архив прошивки (сначала Прошивка №1, затем Прошивка №2. Ставить нужно обе в логической последовательности), внутри которого находится файл *.ras . Этот файл сначала надо разархивировать.

2. Отключаем Wi-Fi подключение на компьютере.

3. Подключаемся через кабель в порт LAN.

4. Открываем браузер Internet Explorer и в строке адреса пишем http://192.168.1.1/

5. Для доступа на WEB интерфейс устройства у вас запросят логин/пароль по умолчанию admin/admin (пароль рекомендуем изменить на более сложный в дальнейшем, в разделе Maintenance→Administration, см. конец этого сообщения)

6. Зайдя на WEB интерфейс устройства переходим в меню "Maintenance" ("Эксплуатация устройства") и выбираем там подменю "Firmware" (Обновление ПО)

7. Выберите файл прошивки через Browse(Обзор), затем нажмите Upgrade (Обновить).

Если у вас возникают ошибки во время обновления, то:

1) Вы выбрали не ту версию прошивки для своего модема/роутера
2) Выполните обновление через другой браузер (рекомендуется использовать Internet Explorer)

4. После успешного обновления прошивки, всё готово к тому, чтобы настроить роутер и выйти в интернет.
Для этого воспользуйтесь меню Quick Setup (Быстрая Настройка) - укажите данные по договору VPI VCI , имя пользователя и пароль.
Если вы не знаете этих данных и не можете найти в договоре, свяжитесь с Ростелеком для уточнения.
После успешной настройки, работа Интернет будет восстановлена.

Для всех моделей!
После антивирусной проверки и перенастройки роутера, даже если перепрошить роутер не представляется возможным, следует проверить в его меню настройки [spoiler=Если у вас так] Если у вас так же как на этой картинке выше под спойлером, обязательно перенастройте - сделайте как на картинке ниже под спойлером: [spoiler=Должно быть так] Изменение пароля!
Рекомендуем изменить пароль для доступа на WEB интерфейс устройства (по умолчанию admin/admin), на более сложный, в разделе Maintenance (Эксплуатация устройства) → Administration (Администрирование). Он должен содержать в обязательном порядке специальные знаки типа #,@,$.//, т.к. простых буквенно-цифровых значений хватает максимум на день от брутфорса вирусом. Обязательно запишите (скопируйте в файл) новый пароль, чтобы не забыть его.

Комментировать

Kirill000001LV02017-08-01 22:50:11

Как можете прокомментировать

Список роутеров, с которыми умеет работать троянец:
DSL router
D-Link: DSL-2520U, DSL-2600U
TP-LINK: TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G

Пруф: http://bz.south.rt.ru/?p=1155

Почему в шапке темы не все указанные здесь модели Тплинк?

Des1redLV02017-08-02 07:06:58

[quote="Kirill000001"] Почему в шапке темы не все указанные здесь модели Тплинк?[/quote] В спойлере указана же вся информация, в чем проблема их на сайте найти? Самые популярные модели указали и достаточно, зачем захламлять шапку?

Andrias2003LV02017-08-02 17:56:41

[quote="Goodwin"]vpi vci логин и пароль - вот четыре параметра, которые надо вводить[/quote]Параметры PVC для интернета и телевидения

Логин и пароль выдаютсявместе с договором.
Я кстати не работаю в ртк!

Alexandr.KustovLV02017-08-02 19:23:53

Ростовская область. Обладатель TD-W8951ND v.4. Прошивку обновлял сразу после покупки ( от 07/06/12 ), с того времени официальных апдейтов не было, за исключением выхода прошивки "Special firmware only for Finland customers" от 18/09/12 (пытался пришить, но не загрузилась). Пароль на web интерфейс кастомный изначально. Проблема началась примерно дней 10 тому назад. Предположил, что виноват дождь, т.к. уже не раз обращался по причине обрывов в мокрую погоду, в этот раз звонить не стал, но ситуация не изменилась с улучшением погоды. Позвонил в поддержку, там приняли заявку и велели ждать звонка, в течении 1-2 дн. Сбросил и перенастроил модем. Через некоторое время снова обрыв. И тут, обнаружил, что рандомно настроенный на работу PVC канал отключен. Как так? Всё это время названивал сосед с идентичной проблемой (8961ND), и у него также, отключались каналы, с настроенными его VPI/VCI. На удачу, у него имелся Dlink 2600, которым он подменил TP-Link, который у него изъят для экспериментов). Также,на 8951ND, после сбоя потух индикатор wifi, хотя беспроводное соединение есть. Кстати, никто из поддержки ртк так и не позвонил, ну там видно, был завал.
P/S. Хотя в версию с вирусом не верил до последнего, думал - ставят какие то следящие приблуды - чтобы випиэны и торы не юзали ) :?

DrovosekLV02017-08-02 23:09:53

Доброго времени суток!
У меня модем TD-W8961ND ver2, как я понял он так же подвергся вирусной атаке. DrWeb вирусов на компе не обнаружил, прошивок новых на модем нет.
Проблема в том, что не получается изменить настройки в модеме.
Вообще, когда я переходил на адрес 192.168.1.1 выходило сообщение, что не удается получить доступ к сайту. Я посредством иголки сбросил модем до заводских настроек, после этого удалось зайти на 192.168.1.1, но через 3-5 минут опять страница недоступна.
Пробовал в этот короткий промежуток времени и PPPoE настраивать с логином и паролем от провайдера и Bridge Mode ставить - интернет не появился.
Какие варианты решения проблемы ещё есть, кроме покупки нового модема?

Andrias2003LV02017-08-03 05:41:27

[quote="Drovosek"]Доброго времени суток!
У меня модем TD-W8961ND ver2, как я понял он так же подвергся вирусной атаке. DrWeb вирусов на компе не обнаружил, прошивок новых на модем нет.
Проблема в том, что не получается изменить настройки в модеме.
Вообще, когда я переходил на адрес 192.168.1.1 выходило сообщение, что не удается получить доступ к сайту. Я посредством иголки сбросил модем до заводских настроек, после этого удалось зайти на 192.168.1.1, но через 3-5 минут опять страница недоступна.
Пробовал в этот короткий промежуток времени и PPPoE настраивать с логином и паролем от провайдера и Bridge Mode ставить - интернет не появился.
Какие варианты решения проблемы ещё есть, кроме покупки нового модема?[/quote] На сайте РТК:После настройки роутера обязательно смените стандартный логин / пароль доступа на web интерфейс. Рекомендуется сменить стандартный IP адрес роутера на другой: на пример 192.168.5.1
По поводу вирусов, проверяли Dr.Web CureIt!?

DrovosekLV02017-08-03 06:24:55

[quote="Andrias2003"]На сайте РТК:После настройки роутера обязательно смените стандартный логин / пароль доступа на web интерфейс. Рекомендуется сменить стандартный IP адрес роутера на другой: на пример 192.168.5.1[/quote] Причём здесь это, если у меня не получается зайти в настройки?
[quote="Andrias2003"]По поводу вирусов, проверяли Dr.Web CureIt!?[/quote] Да, проверял этой утилитой.

Andrias2003LV02017-08-03 06:33:18

[quote="Drovosek"]Я посредством иголки сбросил модем до заводских настроек, после этого удалось зайти на 192.168.1.1, но через 3-5 минут опять страница недоступна.[/quote] 1)Вы настроили
2)троян подобрал пароль
3)интернет не работает.
вот так происходит. Именно по этой причине рекомендуем установить максимально сложный пароль на web интерфейс и сменить подсеть.
А еще Goodwin на прошлой странице от » 01 авг 2017, 19:03 дал идеальный совет, что делать

DrovosekLV02017-08-03 07:48:36

[quote="Andrias2003"][quote="Drovosek"]Я посредством иголки сбросил модем до заводских настроек, после этого удалось зайти на 192.168.1.1, но через 3-5 минут опять страница недоступна.[/quote] 1)Вы настроили
2)троян подобрал пароль
3)интернет не работает.
вот так происходит. Именно по этой причине рекомендуем установить максимально сложный пароль на web интерфейс и сменить подсеть. [/quote] Спасибо!
В очередной раз сбросил модем до заводских настроек и в первые 3 минуты в Internet Explorer зашёл в настройки модема и сменил пароль, далее уже беспрепятственно настроил PPPoE подключение и интернет появился.

Непонятно только кое-что
Т.к. CureIt не выявил вирусов на компе, значит вирус сидит в самом модеме?
Но как он туда попал, просто взял и сам загрузился в модем при переходе на какой-то url?
И почему вирус не исчезает при сбросе до заводских настроек?

MorozickLV02017-08-03 09:20:06

[quote="Goodwin"] TD-W8961ND ver3
Прошивка №1
Прошивка №2
Зеркало Яндекс [/quote] Добрый день!
У меня роутер TD-W8961ND ver3. Текущая версия прошивки 12. Скачал прошивки из первого поста.
При установки 14 версии "бежит" полоска процентов, в конце браузер запрашивает логин и пароль. Роутер не перезагружается, лампочки не мигают. При входе прошивка остается 12й версии.
16я версия на 12ю не ставиться, сообщается об ошибке.
Что делать?

ЗЫ: вчера хард ресет роутера помог, сегодня с утра роутер опять умер (((