Haittaohjelmat reitittimissä, verkkolaitteissa ja esineiden Internetissä ovat yhä yleisempiä. Suurin osa niistä saastuttaa haavoittuvia laitteita ja kuuluu erittäin tehokkaisiin robottiverkkoihin. Reitittimet ja Internet of Things (IoT) -laitteet ovat aina päällä, aina online-tilassa ja odottavat ohjeita. Ja botnetit käyttävät tätä hyväkseen hyökätäkseen näitä laitteita vastaan.
Mutta kaikki haittaohjelmat ( malware ) eivät ole samoja.
VPNFilter on tuhoisa haittaohjelma, joka hyökkää reitittimiin, IoT-laitteisiin ja jopa joihinkin NAS-laitteisiin. Kuinka havaitset, ovatko laitteesi VPNFilter-haittaohjelmat saastuttamia? Ja miten voit poistaa sen? Tarkastellaan tarkemmin VPNFilteriä seuraavan artikkelin kautta.
Mikä on haittaohjelma VPNFilter? Kuinka poistaa se?
VPNFilter on kehittynyt modulaarinen haittaohjelmaversio, joka kohdistuu ensisijaisesti useiden valmistajien verkkolaitteisiin sekä NAS-laitteisiin. VPNFilter löydettiin alun perin Linksys- , MikroTik-, NETGEAR- ja TP-Link- verkkolaitteista sekä QNAP NAS -laitteista noin 500 000 tartunnalla 54 maassa.
VPNFilterin etsintätiimi, Cisco Talos, päivitti äskettäin tähän haittaohjelmaan liittyvät tiedot, jotka osoittavat, että ASUS:n, D-Linkin, Huawein, Ubiquitin, UPVEL:n ja ZTE:n kaltaisten valmistajien verkkolaitteet osoittavat tällä hetkellä merkkejä VPNFilterin saastuttamisesta. Kirjoitushetkellä tämä ei kuitenkaan vaikuttanut Ciscon verkkolaitteisiin.
Tämä haittaohjelma on toisin kuin useimmat muut IoT:hen keskittyvät haittaohjelmat, koska se säilyy järjestelmän uudelleenkäynnistyksen jälkeen, mikä tekee sen poistamisesta vaikeampaa. Erityisen haavoittuvia ovat laitteet, jotka käyttävät oletusarvoisia kirjautumistunnuksiaan tai joissa on nollapäivän haavoittuvuuksia (tuntemattomia tietokoneohjelmistojen haavoittuvuuksia), joita ei päivitetä säännöllisesti laiteohjelmistolla .
VPNFilter on "monimoduuli, cross-platform", joka voi vahingoittaa ja tuhota laitteita. Lisäksi siitä voi tulla huolestuttava uhka, joka kerää käyttäjätietoja. VPNFilter toimii useissa vaiheissa.
Vaihe 1 : VPNFilter vaiheessa 1 perustaa laskeutumispaikan laitteeseen, ottaa yhteyttä komento- ja ohjauspalvelimeen (C&C) ladatakseen lisämoduuleja ja odottaa ohjeita. Vaiheessa 1 on myös useita sisäänrakennettuja varauksia aseman vaiheen 2 C&C, jos infrastruktuuri muuttuu toteutuksen aikana. Vaiheen 1 VPNFilter-haittaohjelmat voivat myös selviytyä uudelleenkäynnistyksistä, mikä tekee siitä erittäin vaarallisen uhan.
Vaihe 2 : VPNFilter vaiheessa 2 ei säily uudelleenkäynnistyksen jälkeen, mutta siinä on paljon ominaisuuksia tässä vaiheessa. Vaihe 2 voi kerätä henkilötietoja, suorittaa komentoja ja häiritä laitehallintaa. Lisäksi vaiheesta 2 on käytännössä erilaisia versioita. Jotkin versiot on varustettu tuhoavalla moduulilla, joka korvaa laitteen laiteohjelmiston osion ja käynnistetään sitten uudelleen tehdäkseen laitteen käyttökelvottomaksi (pohjimmiltaan haittaohjelman poistaminen käytöstä). reitittimen , IoT- tai NAS -laitteiden määrittäminen ).
Vaihe 3 : Vaiheen 3 VPNFilter-moduulit toimivat vaiheen 2 laajennuksina ja laajentavat VPNFilterin toimintoja. Moduuli, joka toimii pakettien haistajana , joka kerää saapuvan liikenteen laitteelle ja varastaa kirjautumistiedot. Toisen tyypin avulla vaiheen 2 haittaohjelmat voivat kommunikoida turvallisesti Torin avulla . Cisco Talos löysi myös moduulin, joka ruiskutti haitallista sisältöä laitteen läpi kulkevaan liikenteeseen, mikä tarkoittaa, että hakkerit voisivat edelleen hyödyntää muita kytkettyjä laitteita reitittimien, IoT- tai NAS-laitteiden kautta.
Lisäksi VPNFilter-moduulit "mahdollistavat verkkosivustojen tunnistetietojen varastamisen ja Modbus SCADA -protokollien valvonnan".
Toinen mielenkiintoinen (mutta ei äskettäin löydetty) VPNFilter-haittaohjelman ominaisuus on sen online-valokuvien jakamispalvelujen käyttö C&C-palvelimen IP-osoitteen löytämiseksi . Talos-analyysissä havaittiin, että haittaohjelma viittaa sarjaan Photobucket-URL-osoitteita. Haittaohjelma lataa ensimmäisen kuvan URL-viitegalleriassa ja poimii kuvan metatietoihin piilotetun palvelimen IP-osoitteen .
IP-osoite "poimitaan EXIF- tiedoissa olevista GPS-leveys- ja pituusasteen 6 kokonaislukuarvosta ." Jos tämä epäonnistuu, vaiheen 1 haittaohjelma palaa normaaliin verkkotunnukseensa (toknowall.com - lisää alla) ladatakseen kuvan ja yrittääkseen samaa prosessia.
Taloksen päivitysraportti näyttää mielenkiintoisia yksityiskohtia VPNFilter-pakettien haistelumoduulista. Sen sijaan, että se puuttuisi kaikkeen, sillä on tiukat säännöt, jotka kohdistetaan tietyntyyppiseen liikenteeseen. Tarkemmin sanottuna teollisuusohjausjärjestelmästä (SCADA) tuleva liikenne, joka käyttää TP-Link R600 VPN:ää, muodostaa yhteyden ennalta määritettyyn luetteloon IP-osoitteista (osoittaa edistyneestä verkkotuntemuksesta) ja haluttuun liikenteeseen sekä 150 tavua tai datapaketteja. suurempi.
Talosin vanhempi teknologiajohtaja ja globaali tavoittavuuspäällikkö Craig William kertoi Arsille: "VPNFilter etsii hyvin erityisiä asioita. He eivät yritä kerätä mahdollisimman paljon liikennettä. He yrittävät vain saada joitain hyvin pieniä asioita, kuten kirjautumistietoja ja salasanoja. Meillä ei ole siitä paljon tietoa, paitsi että tiedämme, että se on hyvin kohdennettu ja erittäin hienostunut. Yritämme edelleen selvittää, kenelle he soveltavat tätä menetelmää."
VPNFilterin uskotaan olevan valtion tukeman hakkeriryhmän työtä. VPNFilter-infektio löydettiin alun perin Ukrainasta, ja monet lähteet uskovat, että se on Venäjän tukeman hakkerointiryhmän Fancy Bear työtä.
Mikään maa tai hakkeriryhmä ei kuitenkaan ole ottanut vastuuta tästä haittaohjelmasta. Ottaen huomioon haittaohjelman yksityiskohtaiset ja kohdistetut säännöt SCADA:lle ja muille teollisille järjestelmäprotokolleille, teoria, jonka mukaan ohjelmisto on kansallisvaltion tukema, vaikuttaa todennäköisimmältä.
FBI uskoo kuitenkin, että VPNFilter on Fancy Bearin tuote. Toukokuussa 2018 FBI takavarikoi verkkotunnuksen - ToKnowAll.com - jonka uskottiin käyneen vaiheen 2 ja 3 VPNFilter-haittaohjelmien asentamiseen ja komentoon. Tämän verkkotunnuksen takavarikointi oli todennäköistä. Se auttoi varmasti pysäyttämään VPNFilterin välittömän leviämisen, mutta se ei ratkaissut ongelmaa kokonaan. Ukrainan turvallisuuspalvelu (SBU) esti VPNFilter-hyökkäyksen kemiankäsittelylaitokseen heinäkuussa 2018.
VPNFilterillä on myös yhtäläisyyksiä BlackEnergy-haittaohjelmiin, APT- troijalaiseen, jota käytetään useisiin kohteisiin Ukrainassa. Jälleen kerran, vaikka tarkkaa näyttöä ei ole, ukrainalaisiin järjestelmiin kohdistuvat hyökkäykset tulevat pääasiassa hakkeriryhmiltä, joilla on läheiset siteet Venäjään.
Todennäköisesti reitittimesi ei ole VPNFilter-haittaohjelmatartunnan saanut. Mutta on silti parempi varmistaa, että laitteesi on turvallinen:
Tarkista reitittimesi linkistä: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Jos laitettasi ei ole luettelossa, kaikki on kunnossa.
Voit vierailla Symantecin VPNFilter-testisivulla: http://www.symantec.com/filtercheck/. Tarkista käyttöehdot ja paina sitten Suorita VPNFilter Check -painiketta keskellä. Testi valmistuu muutamassa sekunnissa.
Jos Symantec VPNFilter Check vahvistaa, että reitittimesi on VPNFilterin saastuttama, sinun on suoritettava seuraavat toimet.
Lisäksi sinun on suoritettava täydellinen järjestelmätarkistus jokaisessa VPNFilter-tartunnan saaneeseen reitittimeen yhdistetyssä laitteessa.
Tehokkain tapa poistaa VPNFilter-haittaohjelmat on käyttää virustentorjuntaohjelmistoa sekä haittaohjelmien poistosovellusta. Molemmat työkalut voivat havaita tämän viruksen ennen kuin se saastuttaa tietokoneesi ja reitittimesi.
Virustorjuntaohjelmistolla saattaa kestää useita tunteja tietokoneen nopeudesta riippuen, mutta se tarjoaa myös parhaat menetelmät haitallisten tiedostojen poistamiseen.
Kannattaa myös asentaa haittaohjelmien poistotyökalu, joka havaitsee VPNFilterin kaltaiset haittaohjelmat ja tappaa ne ennen kuin se aiheuttaa ongelmia.
Virustorjuntaohjelmiston tavoin haittaohjelmien tarkistusprosessi voi kestää useita tunteja riippuen tietokoneesi kiintolevyn koosta ja sen nopeudesta.
Kuten muutkin virukset, sinun on myös poistettava VPNFilter-haittaohjelmat reitittimestäsi. Tätä varten sinun on palautettava reitittimen tehdasasetukset.
Hard reset -reititin edellyttää, että reititin on nollattava alusta alkaen, mukaan lukien uuden järjestelmänvalvojan salasanan luominen ja langattoman verkon määrittäminen kaikille laitteille. Kestää jonkin aikaa tehdä se oikein.
Sinun tulee aina vaihtaa reitittimesi ja kaikkien IoT- tai NAS-laitteiden oletustunnistetiedot (tämän tehtävän suorittaminen ei ole helppoa IoT-laitteilla), jos mahdollista. Lisäksi vaikka on todisteita siitä, että VPNFilter voi ohittaa jotkin palomuurit , palomuurin oikea asennus ja määrittäminen auttaa silti pitämään monet muut ilkeät poissa verkosta.
Tehokkain tapa poistaa VPNFilter-haittaohjelmat on käyttää virustorjuntaohjelmistoa
On olemassa muutamia keskeisiä tapoja, joilla voit vähentää riskiäsi saada uudelleen VPNFilter (tai mikä tahansa muu virus), mukaan lukien erityiset VPNFilteriin liittyvät vinkit.
Päivitetty reititin on suojattu VPNFilter-haittaohjelmilta sekä muilta tietoturvauhkilta. Muista aina päivittää se mahdollisimman pian.
Älä käytä reitittimen valmistajan asettamaa oletussalasanaa. Luo omat salasanasi, jotka ovat vahvempia ja jotka eivät todennäköisesti joutuisi pahantahtoisten toimijoiden hyökkäyksiin.
Pidä virus- ja haittaohjelmien torjuntaohjelmasi ajan tasalla. Uusia virusmääritelmiä julkaistaan säännöllisesti, ja ne pitävät tietokoneesi ajan tasalla uusista viruksista ja haittaohjelmista.
On tärkeää tietää selkeästi lataamiesi ohjelmien ja sovellusten lähde. Vähemmän hyvämaineisilla sivustoilla on monia lisäosia, joita et tarvitse, kuten VPNFilter.
Kun banneri tulee näkyviin selatessasi verkkosivustoa, älä napsauta sitä. Yleensä turvallisin tapa on vierailla toisella verkkosivustolla, ei ponnahdusikkunoita täynnä olevalla verkkosivustolla.
Reitittimien haittaohjelmat ovat yhä suositumpia. Haittaohjelmia ja IoT-haavoittuvuuksia on kaikkialla, ja verkossa olevien laitteiden määrän kasvaessa tilanne vain pahenee. Reititin on kotisi tiedon keskipiste. Se ei kuitenkaan saa niin paljon turvallisuushuomiota kuin muut laitteet. Yksinkertaisesti sanottuna reitittimet eivät ole niin turvallisia kuin luulet.
Katso lisää:
Windowsin palomuuri lisäsuojauksella on palomuuri, joka toimii Windows Server 2012:ssa ja on oletuksena käytössä. Windows Server 2012:n palomuuriasetuksia hallitaan Windowsin palomuurin Microsoft Management Consolessa.
Kun vaihdat Vigor Draytek -modeemin ja reitittimen sisäänkirjautumisen järjestelmänvalvojan sivun salasanan, käyttäjät rajoittavat luvatonta pääsyä modeemin salasanan vaihtamiseen ja suojaavat tärkeitä verkkotietoja.
Onneksi AMD Ryzen -suorittimia käyttävien Windows-tietokoneiden käyttäjät voivat käyttää Ryzen Masteria RAM-muistin ylikellotukseen ilman kosketusta BIOSiin.
USB-C-portista on tullut standardi tiedonsiirrolle, videolähdölle ja lataukselle nykyaikaisissa Windows-kannettavissa. Vaikka tämä on kätevää, se voi olla turhauttavaa, kun liität kannettavan tietokoneen USB-C-laturiin, mutta se ei lataudu.
Ei voi luoda palvelua -virhe Ultraviewerissa ilmenee, kun asennamme ohjelmiston, jonka virhekoodi on 1072.
Virhe, jossa tunnistetta ei näytetä Ultraviewerissa, vaikuttaa etätietokoneeseen.
Ultraviewer ohjaa tietokonetta etänä ja siinä on tila tiedostojen lähettämiseen ja vastaanottamiseen.
Normaalisti, kun tiedosto poistetaan Windowsissa, tiedostoa ei poisteta heti, vaan se tallennetaan roskakoriin. Sen jälkeen sinun on tehtävä vielä yksi vaihe: tyhjennä roskakori. Mutta jos et halua tehdä tätä toista vaihetta, näytämme sinulle, kuinka voit poistaa tiedoston pysyvästi alla olevassa artikkelissa.
Pimeä verkko on salaperäinen paikka, jolla on loistava maine. Pimeän verkon löytäminen ei ole vaikeaa. Turvallisen navigoinnin oppiminen on kuitenkin toinen asia, varsinkin jos et tiedä mitä olet tekemässä tai mitä odottaa.
Teknisesti Adrozek ei ole virus. Se on selaimen kaappaaja, joka tunnetaan myös nimellä selaimen muokkaaja. Tämä tarkoittaa, että tietokoneellesi on asennettu haittaohjelma tietämättäsi.
