Вирусная эпидемия в сети Ростелеком. Методика борьбы.

Опубликовано: 2017-07-31 08:22:47Последнее обновление: 2022-03-28 03:18:34

Здравствуйте.
По ориентировочной информации, компьютеры и ноутбуки на базе Windows абонентов Ростелеком некоторых регионов, подключенные по телефонной линии ADSL, были подвержены вирусной атаке, в результате которой на компьютер проник вирус, воздействующий на ADSL-модемы старого образца.

Подтверждённые регионы:
Ставропольский Край и регионы
Краснодарский Край и регионы
Ростов-на-Дону и регионы
Таттелеком
возможно и в других регионах, и у других провайдеров

Пострадавшее ADSL оборудование: ТОЛЬКО на базе прошивки от 2012 года
TD-W8901G, TD-W8151N, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8816, TD-8817 .
Обновление до прошивок от 2014 года и новее защищает устройство.

Способы борьбы:
1. Следует использовать любой доступный источник интернета для того, чтобы скачать полноценный антивирус и выполнить полную проверку всех компьютеров. Мы рекомендуем использовать Др.Веб или как минимумп просканировать компьютер утилитой Dr.Web CureIt, т.к. некоторые другие антивирусы (например Аваст, Касперский, НОД32) не помогают в данной ситуации.

2. Скачать прошивку для вашей модели роутера ниже по ссылкам.
Для проверки аппаратной версии вашего устройства TP-LINK, переверните его и посмотрите на наклейку на нижней панели.
В поле, где указан серийный номер (Serial Number) находится символьная строка “Ver: X.Y” (например, Ver: 1.0),
в которой цифра Х – это аппаратная версия устройства.
То есть, если строка выглядит так – “Ver: 1.1” – это значит, что аппаратная версия устройства – V1.

TD-W8951N ver 5
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8961ND ver3
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8961N ver1
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8961N ver2
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8151N ver3
Прошивка №1
Прошивка №2
Зеркало Яндекс

TD-W8901N ver1
Прошивка №1
Прошивка №2
Зеркало Яндекс

Модели или версии нет в списке? [spoiler=Моей модели роутера или его апаратной версии нет в этом списке]Попробуйте самостоятельно выполнить поиск прошивки.
Для этого зайдите на официальный сайт, в правом верхнем углу в строке поиска, вбейте вашу модель, можно только цифры, например 8961
Перейдите в вашу модель, затем Поддержка - выберите вашу аппаратную версию, ниже "Встроенное ПО".
Если там вы увидите прошивки только за 2012 год (по дате публикации), значит это совсем старое устройство, снятое с производства до 2009 года. Обновить его не получится. В свете новых угроз и вызовов, криптовирусов и других угроз, рекомендуем рассмотреть вариант покупки нового современного роутера. 3. Выполнить на роутере сброс настроек на заводские.
Для этого при включённом питании нажимаем и удерживаем кнопку RESET до тех пор, пока все индикаторы не загорятся и не погаснут.

4. Зайти в настройки роутера и выполнить обновление.
Процесс обновления прошивки - очень важный и ответственный шаг в эксплуатации вашего устройства.

Существует несколько аппаратных версий вашего устройства.

Неправильно выбранная прошивка может повредить ваше устройство и сделать вашу гарантию недействительной.

НЕ выключайте устройство во время обновления. Важно понимать, что прерванный процесс перепрошивки выведет ваше устройство из строя.

НЕ выполняйте обновление программного обеспечения по беспроводной сети. Пользуйтесь только кабельным подключением Компьютер - LAN порт модема. Если на этом компьютере также есть wi-fi подключение, его в обязательном порядке следует отключить.

Процесс обновления прошивки:

1. Скачиваем нужный архив прошивки (сначала Прошивка №1, затем Прошивка №2. Ставить нужно обе в логической последовательности), внутри которого находится файл *.ras . Этот файл сначала надо разархивировать.

2. Отключаем Wi-Fi подключение на компьютере.

3. Подключаемся через кабель в порт LAN.

4. Открываем браузер Internet Explorer и в строке адреса пишем http://192.168.1.1/

5. Для доступа на WEB интерфейс устройства у вас запросят логин/пароль по умолчанию admin/admin (пароль рекомендуем изменить на более сложный в дальнейшем, в разделе Maintenance→Administration, см. конец этого сообщения)

6. Зайдя на WEB интерфейс устройства переходим в меню "Maintenance" ("Эксплуатация устройства") и выбираем там подменю "Firmware" (Обновление ПО)

7. Выберите файл прошивки через Browse(Обзор), затем нажмите Upgrade (Обновить).

Если у вас возникают ошибки во время обновления, то:

1) Вы выбрали не ту версию прошивки для своего модема/роутера
2) Выполните обновление через другой браузер (рекомендуется использовать Internet Explorer)

4. После успешного обновления прошивки, всё готово к тому, чтобы настроить роутер и выйти в интернет.
Для этого воспользуйтесь меню Quick Setup (Быстрая Настройка) - укажите данные по договору VPI VCI , имя пользователя и пароль.
Если вы не знаете этих данных и не можете найти в договоре, свяжитесь с Ростелеком для уточнения.
После успешной настройки, работа Интернет будет восстановлена.

Для всех моделей!
После антивирусной проверки и перенастройки роутера, даже если перепрошить роутер не представляется возможным, следует проверить в его меню настройки [spoiler=Если у вас так] Если у вас так же как на этой картинке выше под спойлером, обязательно перенастройте - сделайте как на картинке ниже под спойлером: [spoiler=Должно быть так] Изменение пароля!
Рекомендуем изменить пароль для доступа на WEB интерфейс устройства (по умолчанию admin/admin), на более сложный, в разделе Maintenance (Эксплуатация устройства) → Administration (Администрирование). Он должен содержать в обязательном порядке специальные знаки типа #,@,$.//, т.к. простых буквенно-цифровых значений хватает максимум на день от брутфорса вирусом. Обязательно запишите (скопируйте в файл) новый пароль, чтобы не забыть его.

Комментировать

aforsLV02017-08-05 18:03:52

[quote="laptev.pavel"]А можете указать полный список моделей устройств, которые подвержены атаке и отдельно отметить те, для которых невозможно обновление ПО?[/quote] TD-W8151N v1.2 (4 модема)

redblasterLV02017-08-05 19:48:23

Ростов . Модем TP-LINK8951NB AnnexB. Прошивка 2012 года , обновления нет. Техподдержка РТК сочувствует но ничем помочь не может,техподдержка TP-LINKa уведомила что обновления нет и не будет. Неделю с перерывами думал, читал , потом сделал так:
1) Переустановил Винду ( может и не надо было) , Доктор веб официальный стоит.
2) Отключил от модема все провода .
3) Резет кнопкой .
4) Отключил кнопкой Вай-фай ( хотя не обязательно).
5) Подключил комп .
6) Зашел на веб-интерфейс модема и СРАЗУ поменял пароль . Он должен содержать в обязательном порядке знаки типа #,@,$.//,
простых буквенно-цифровых хватает максимум на день.Подключил телефонную линию.
7) Настройки для РТК Ростова которые заработали у меня : 1) ATM VC: PVC2, VPI 0, VCI 35 2) ENCAPSULATION PPPoA/PPPoe
3)PPPoA/PPPoe PPPoA VC-Mux
8) Настроил Вай-фай.
9) Зашел на STATUS PVC2 -- UP
Работает двое суток без сбоев.
Дальше будем посмотреть .
Всем удачи.

laptev.pavelLV02017-08-06 10:40:38

[quote="No1c"][quote="laptev.pavel"][quote="No1c"]
Не-а :( Стоял режим всех типов/автовыбор[/quote] Может вам все же перезвонить в тех поддержку?[/quote] Звонил. 43 в очереди, через 10 мин связь оборвалась + писал в вк, там посоветовали новый модем купить у них по акции, затем послали на сайт тплинка узнавать о VPI/VCI, а потом все же создали заявку и сказали "ждать". Учитывая, что я в вк ответы по 3 часа ждал, то боюсь представить сколько мне ждать.[/quote] VPI и VCI вам должна сказать именно наша поддержка. Откуда бы их знать поддержке тплинка? Логин и пароль у вас должны быть в договоре. Попробуйте позвонить ещё раз, но не говорите какой модем, просто спросите общие настройки и попросите сказать, виден ли модем на линии (есть ли синхронизация) и какие характеристики видны (сигнал/шум, затухание)
Если синхронизация есть, то попробуйте сделать сброс модема ещё раз, затем настройте с помощью быстрого старта и не забудьте поменять пароль на веб-интерфейс.
Вот тут есть параметры vpi и vci для Ростелеком Юг http://bz.south.rt.ru/?p=674

arturka-aLV02017-08-06 15:04:31

[quote="redblaster"]Ростов . Модем TP-LINK8951NB AnnexB. Прошивка 2012 года , обновления нет. Техподдержка РТК сочувствует но ничем помочь не может,техподдержка TP-LINKa уведомила что обновления нет и не будет. Неделю с перерывами думал, читал , потом сделал так:
1) Переустановил Винду ( может и не надо было) , Доктор веб официальный стоит.
2) Отключил от модема все провода .
3) Резет кнопкой .
4) Отключил кнопкой Вай-фай ( хотя не обязательно).
5) Подключил комп .
6) Зашел на веб-интерфейс модема и СРАЗУ поменял пароль . Он должен содержать в обязательном порядке знаки типа #,@,$.//,
простых буквенно-цифровых хватает максимум на день.Подключил телефонную линию.
7) Настройки для РТК Ростова которые заработали у меня : 1) ATM VC: PVC2, VPI 0, VCI 35 2) ENCAPSULATION PPPoA/PPPoe
3)PPPoA/PPPoe PPPoA VC-Mux
8) Настроил Вай-фай.
9) Зашел на STATUS PVC2 -- UP
Работает двое суток без сбоев.
Дальше будем посмотреть .
Всем удачи.[/quote] Как сменить Логин??

redblasterLV02017-08-06 16:11:38

Логин не менял ,только пароль.

Alexandr.KustovLV02017-08-06 18:42:06

[quote="arturka-a"]у меня тоже самое Ростов привет я звонил в ростелеком они говорят что для ростова придется покупать новый модем!!! :o :o :o[/quote] W8961ND v.3.2 - достаточно приличный аппарат - по соотношению цена качество, на мой взгляд, конкурентов мало (а со съемными антеннами - попробуй найди, использую TL2409A). последняя прошивка 16 года. прошил и временно подменил им 8951ND v4 ( вот его менять придется, и скорее всего на TD-W8968), - пашет ровно, обрывов не замечал, wifi бьет дальше, не греется. регион 61.

datievLV02017-08-07 07:55:38

Здравствуйте. По поводу атаки хочу согласиться с уже сказанными мнениями здесь, данный вирус уже почти 3 года сушествует и производители о нём знали! По этому и выпускались обновления для модемов.

Данный вирус может паражать модем как из вне сети, то есть по wan порту, так и по локальной сети пользователей! Так же данный вирус может прописывать себя в ядро маршрутизаторов, что даёт ему приемущество оставаться в модеме даже после ресета и прошивки аппарата (в основном это касается старых модемов, тех на которые не вышли новые прошивки)! Были сравнены два посекторных дампа памяти модемов, оба одинаковые. Один заражён а другой у меня валялся без блока питания (у клиента когда то сгорел блок от этого модема и клиент просто заменил модем, и старый подогнал мне), то есть не работал. Было считан посекторный дамп памяи у обоих модемов с одинаковыми прошами. При сравнении дампов выявлено, что на зараженном модеме дамп больше на 0,3% ежели у не зараженного! разность дампов наталкивает на мысыль что он уже в ядре. Те кто занимается посекторным програмированием дампов поймут что я пишу. И очень иниересно то что добавленная часть начинается с таких же бит кодов что и коды завершения основной прошивки модема. Конешно это пока только доводы но мне кажеться что вирус в памяти модема начинается с кода окончания основных прошивок. Иными словами у каждой прошивки есть код начала программы и код конца прошивки, стандартная програмка прошивки модема пишет дампы между этими двумя командами, послеткомандытконца прошивки она ничего не переписывает, что конечно же даёт возможность вирусу оставаться не затронутым. Вот поэтому у старых модемов, на которые нет обновлений, после настройки и определённого времени работы пропадает интернет, сколько ни чисти компьютер это не поможет.

Н,о не так враг силён как кажеться!!! Как же его выкурить с модема и предотвратить его проникновение в модем повторно? На Этот вопрос я пытаюсь найти ответ уже 1 месяц, результат моего иследования поражает, метод работы вируса превосходен, тот кто его написал просто гений, да вот знания свои использует не по назначению! А лично я думаю что это работа не просто хакера, а это слаженная командная работа. Данный вирус собирает и передает информацию о ваших всех движениях в интернете, так как он находиться в модеме антивирусникам его не достать. Поэтому его работу долго не замечали, первый раз его работу заметили в техасской лаболатории Цисско, когда модем с выключенным компьютером передавал в сеть слабые битовые потоки 2ого уровня, что создавало помехи на линии в 0.02 герца! Иными словами паразитировало на линии! Тогда то он и был найден. А вот когда он туда попал не известно по сей день. Ну это не так важно! Данный протокол соединения зеркально отражает битовый поток паролей, скрытой информации и отправляет его на заданные зеркала серверов, при наличии технической возможности я уверен что можно и отследить сигнал в обратную сторону. На данный момент работа вирусного протакола нарушена появлением новых протоколов безопастности у поставшиков интернета, что и приводит к не работе модема.
Вернемся к моему полученному опыту. На протяжении 1ого месяца я изучаю поведение зараженных модемов, их 32шт. Спасибо моим клиентам в Моздоке которые согласились предоставить возможность изучения и поисков методов решения данной проблемы. У модемов подверженных атаке марок Zyxel, D-link, и иных от Tp-link вопрос решается бональной прошивкой модема на ласт версию, в которой прорех в безопастности устранен и работа вируса становиться не возможной! Но дела у тп-линков чуть чуть сложнее, если на сайте производителя нет прошивки датой выпуска 2014 года и после, то дела у вас посложнее, но не страшны. Тп-линки прошитые на прошу 2016 уже не подвержены влиянию вируса. С остальными тп-линками, типа td8961nd ver 2.0 и другими, вопрос обстоить как описанно ниже.

1- нужно скачать с сайта последнюю прошивку на ваш модем.
2- отчистить систему от вирусов, желательно переустановить винду.
3- установить антивирусник на чистую от вирусов винду.
4- разобрать модем и выпаять, именно выпаять, флэш память.
5- прошить микруху, тобиш флэшку, на каком нибуть программаторе, предворительно стерев с нее все несколько раз подряд. Обязательно проверяем пустую флешку на заполненные сектора, там должны быть только нули или значение null.
6-записать прошу на нее заного, припоять её на место и собрать модем

Выше перечисленные процедуры технического характера и занимают не более 10 минут при наличии достаточной аппаратуры. Ниже перечисленные работы уже программного типа.

7- подсоединить (только по кабелю rj45, провод телефона не вставлять) модем к компьютеру на котором установлена чистейшая винда с антивирусником и у которого нет подключения к интернету, если он есть просто отсоедините шнур или выташите свисток или в биос отключите выйфай модуль (методов много, выберите ВОЗМОЖНЫЙ для вас).
8- впишите в модем настройки wan и вай-фай вашего клиента и не забудьте сохранить их.
9- обязательно перенаправьте 80 и 21 порты модема на не сушествующие ip номера сети.
10- Отключите DHCP в модеме и раздайте статические ip сети в ручную.
11- вывести ip номер доступа к модему за границы сети DHCP и запретить его раздачу и признание модемом даже в мануальном режиме, короче говоря зарезервируйте его в модеме!

Кстати не забываем сохранять все после каждого шага!!!

12- пропишите в компьбтер ip доступа к шлюзу модема и войдите в него. Потом меняете пароль доступа к модему, обязательно используйте заглавные, маленькие и всякие крякозябры в пароле. Длинна пароля не меньше 10 знаков, которые обязательно должны быть разными! Сохраняем
13- Закрываем доступ к настройке модема по wan порту! На разных моделях модемов это делается по разному, читайте инструкцию к вашему вожделенцу, да и если что интернет вам в помощь!
14- подключаем его у клиента к заранее отчишенному от вирусов компу.
15- прописываем на технике клиента разрешенные ip номера сети. IP номер доступа к шлюзу модема НИГДЕ НЕ ПРОПИСЫВАЕМ!

Через несколько дней прозваниваем клиентов и интересуемся как их модемы!

Все данные решения описанны разными постами в данной шапке форума и на других сайтах, спасибо за это тем кто эти методы нашёл и предложил.

От себя добавлю, если при выше перечисленных процедурах модем все же работает не корректно, тогда можете все проделать заного но при условии что вы замените флжшку памяти на какую нибудь другую с одинаковой распиновкой и питанием по даташиту и выполните выше перечисленное уже с новой микрухой!

У моих клиентов модемы старых версий работают уже стабильно!

Спасибо за ваше внимание

AR}{@NGELLV02017-08-07 08:59:50

Такая же проблема. Прошивка ни становится ((( Пишет что данный файл не поддерживается.

Victor_93

2017-08-07 10:01:18

[quote="AR}{@NGEL"]Такая же проблема. Прошивка ни становится ((( Пишет что данный файл не поддерживается.[/quote] Какая у вас модель модема? Какая аппаратная версия? Архив с прошивкой распаковывали? Файл "ras" выбирали? Какие прошивки пробовали установить?

AR}{@NGELLV02017-08-07 13:19:33

[quote="Victor"][quote="AR}{@NGEL"]Такая же проблема. Прошивка ни становится ((( Пишет что данный файл не поддерживается.[/quote] Какая у вас модель модема? Какая аппаратная версия? Архив с прошивкой распаковывали? Файл "ras" выбирали? Какие прошивки пробовали установить?[/quote] Модель: TD-W8961ND (RU)
Версия: 3,1
Прошивка 12 года.

Архив распаковывал. Прошивка 12 года ставится, модем перезагружается, все ок. Прошивка 14 года ни ставится, Пишет "Ошибка: Не получилось выполнить обновление по причине… ЗаКгруженный файл не был принят маршрутизатором. " именно так и пишет с ошибкой в слове "загруженный". То же самое пишет и на прошивку 16 года. Прошивки брал как с офсайта так и с данного форума. Результат один и тот же. Причина прошивки, вирусная эпидемия.