This essentially means that flashing an infected router with DD-WRT does not clear out the Stage 1 infection. The malware is written to the bootloader at such a low level that it's not touched by the DD-WRT installation. But there's a chance that the proper firmware released by the vendor does overwrite the areas used by VPNFilter. So the best way to clean an infected devices is to use vendor supplied firmware.
Tony Stark 12.06.2018 12:23 пишет: Этого достаточно или еще какие-то действия нужны?
Что они сами пишут цитата Защита от вредоносного ПО VPNFilter
TP-Link осведомлены об угрозе безопасности под названием "VPN Filter", которая представляет риск для некоторых моделей роутеров. Согласно исследованию Cisco Talos’s investigation это вредоносное ПО может использовать существующие уязвимости устройств и совершать на них атаки. На текущий момент нам не поступали сообщения относительно новых угроз. Что касается старых угроз, они были устранены посредством выпуска новой версии ПО.
Для защиты от возможных угроз настоятельно просим следовать данным рекомендациям:
1. Убедиться, что на вашем роутере установлена последняя версия ПО.
Вы можете узнать версию ПО устройства, перейдя по следующей ссылке:
3. Если вам не требуется использовать функцию удалённого управления (remote management), отключите её. В случае если функция удалённого управления настроена неправильно, риск атак увеличивается.
4. Если вы обеспокоены, что ваш роутер подвержен атакам, попробуйте вернуть его к заводским настройкам, затем выполните вышеперечисленные действия.
TP-Link выясняет обстоятельства возникновения данной угрозы и будет обновлять данную статью по мере поступления новой информации.
старые они уже очень, прошивок можно не ждать пароли поменяйти, управление поотключайте снаружи, перегрузите и врядли ччто-то еще можно сделать... Если очень переживаете то можно в старые тплинки Гаргулью зашить, поляки клепают, на базе опенврт с простым и понятным вебинтерфейсом. Но в ней upnp нету, кому критично.
В ответ на: ЗАФІКСОВАНО ВИПАДКИ РОЗПОВСЮДЖЕННЯ ВІРУСУ ЗАМАСКОВАНОГО ПІД ПОВІДОМЛЕННЯ ВІД ДЕРЖУСТАНОВ
Створене шкідливе програмне забезпечення націлене на користувачів операційної системи MS Windows. Сьогодні, 11 грудня, ми почали фіксувати факти розповсюдження цього шкідливого програмного забезпечення. Загалом, воно було націлене на користувачів, які є приватними нотаріусами України.
Для надсилання шкідливого програмного забезпечення правопорушники використовували поштові сервіси українських компаній www.ukr.net та www.i.ua . Повідомлення із шкідливими додатками надходили начебто від імені державних установ, зокрема судів різних інстанцій.
Для зараження комп’ютерів користувачів зловмисники використовували декілька видів шкідливого програмного забезпечення (далі - ШПЗ), які мають схожий функціонал. При цьому, використовувались різні методи їх розповсюдження (наприклад, користувачі отримували архівні файли, які зовні виглядали як файли формату .pdf).
Злочинці навіть підробили зміст цих файлів – зовні вони виглядали як відсканований документ, створений від імені державної установи. В деяких інших випадках розповсюдження вірусу відбувалось за допомогою документів формату .docx із вбудованим шкідливим ʺOLEʺ об’єктом. Після відкриття документу користувачем, відбувався запуск шкідливого програмного забезпечення. Автоматично відбувалось додавання запису в реєстр операційної системи для його автозавантаження.
Під час поглибленого аналізу спеціалісти з кіберполіції встановили: кожен раз ШПЗ запускалось із теки системного диску за посиланням - :\ProgramData\Microtik\winserv.exe.
Виявлене шкідливе програмне забезпечення переходило у прихований режим очікування з’єднання та в повній мірі надавало доступ до ресурсів комп’ютера жертви.
Згідно результатів аналізу, вказане ШПЗ є модифікованою версією легального програмного забезпечення ʺRMS TektonITʺ