Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Fake stranky v celej sieti

To, co se nehodí jinam..

Moderátor: Moderátoři

Odpovědět
Zpráva
Autor
Uživatelský avatar
moldow
Návštěvník
Návštěvník
Příspěvky: 31
Registrován: 25 říj 2007 20:32

Fake stranky v celej sieti

#1 Příspěvek od moldow »

Riesim siet, kde bol jeden PC napadnuty Ransomware-om a okrem toho, ze sa zasifroval napadnuty PC, ransomware zasifroval aj zdielany HDD v sieti. Toto som uz vyriesil, PC dostalo format, HDD je uz mimo siete avsak riesim iny problem, ktory s tym moze suvisiet.

V sieti su PC s Windows 7, iMacy a MacBooky a stava sa, ze ked si niekto da nacitat nejaku stranku, tak sa mu nacita fake page (vacsinou nejaka reklama). Tu zatvorim a po opatovnom nacitani mojej ziadanej stanky je vsetko uz ok. Potom je urcity cas klud (desiatky minut) a potom zas pri poziadavke o nacitanie nejakej stranky obavi nejaka fake page.

Robi to ako na windowsoch tak na apple zariadeniach. Dokonca na Apple som si vsimol ze to robi aj v chrome aj v safari. Malwarebyte na apple nic nenasiel a medzi pluginmi v prehliadaci tiez nic nie je. Moze to byt niekde v routri? Stretol sa s tym niekto? Router je Mikrotik 1016-12G.

Uživatelský avatar
JaRon
Moderátor
Moderátor
Příspěvky: 15198
Registrován: 29 bře 2005 13:39
Bydliště: BB-SK

Re: Fake stranky v celej sieti

#2 Příspěvek od JaRon »

vo vseobecnosti by si mal:
zmenit heslo na routri, hlavne ak mas admin:admin
skontrolovat/zmenit nastavenie DNS na routri
skontrolovat DNS aj na pocitacoch
vyprazdnit vsetky cache na vsetkych prehliadacoch
FRST |ADWCleaner |MBAM |CCleaner |AVPTool

V prípade spokojnosti je možné podporiť fórum
https://platba.viry.cz/payment/

Uživatelský avatar
moldow
Návštěvník
Návštěvník
Příspěvky: 31
Registrován: 25 říj 2007 20:32

Re: Fake stranky v celej sieti

#3 Příspěvek od moldow »

- Meno a heslo na routri nebolo admin/admin ale aj tak som ho zmenil
- Skusal som DNS poskytovatela aj Googlu, stale rovnaky vysledok
- Na Macu vidim ze DNS server je zadefinovany router, co je ok
- Cache prehliadacov bola vycistena

Problem sa stale objavuje. Je to dost divne kedze sa to objavuje bez rozdielu na Windowsoch, Macbookoch a tiez sa to objavilo v iPhone aj na Androide.

Co by som mal vyskusat ako dalsie?
Nejaky analyzator alebo cistic siete?

Uživatelský avatar
JaRon
Moderátor
Moderátor
Příspěvky: 15198
Registrován: 29 bře 2005 13:39
Bydliště: BB-SK

Re: Fake stranky v celej sieti

#4 Příspěvek od JaRon »

na tych Win masinach by som skusil zoek https://forum.viry.cz/viewtopic.php?f=1 ... k#p1500010
FRST |ADWCleaner |MBAM |CCleaner |AVPTool

V prípade spokojnosti je možné podporiť fórum
https://platba.viry.cz/payment/

Uživatelský avatar
moldow
Návštěvník
Návštěvník
Příspěvky: 31
Registrován: 25 říj 2007 20:32

Re: Fake stranky v celej sieti

#5 Příspěvek od moldow »

Vyskusam, aj ked pre mna je dolezitejsie ako to dostat z Apple zariadeni, ktorych je podstatne viac ako tych s windows.
Len upresnim, ze "virus" vzdy otvara stranku "http://debbton.com/afu.php?zoneid=1410276" a ta nasledne automaticky otvori stranku s reklamou.

upravene JaRon

Uživatelský avatar
JaRon
Moderátor
Moderátor
Příspěvky: 15198
Registrován: 29 bře 2005 13:39
Bydliště: BB-SK

Re: Fake stranky v celej sieti

#6 Příspěvek od JaRon »

stranku treba zablokovat
FRST |ADWCleaner |MBAM |CCleaner |AVPTool

V prípade spokojnosti je možné podporiť fórum
https://platba.viry.cz/payment/

Conder
VIP
VIP
Příspěvky: 4399
Registrován: 30 pro 2013 22:29
Bydliště: Bratislava

Re: Fake stranky v celej sieti

#7 Příspěvek od Conder »

Sorry za vstup.

Skus otestovat, ci to robi v inych sietach, kazdopadne tipujem to na problem s routrom. Ak je to mozne, urob factory reset routra, aktualizuj ho na poslednu verziu firmware a nasledne ho nastav rucne.
Absolvent skoly pre novacikov :)
E-mail: conder (zavinac) forum.viry.cz

Ak nieco nie je jasne, pytaj sa. Odporucam mat vzdy zalohovat dolezite data (dokumenty, fotky a ine).

Fixlisty a ine scripty su pisane len pre konkretny PC. Nepouzivajte ich na inych zariadeniach, inak hrozi poskodenie systemu alebo strata dat.
Ak mate podobny problem ako iny uzivatel, prosim, zalozte si vlastnu temu.

V pripade spokojnosti je mozne podporit forum. Dakujeme!

altrok
Moderátor
Moderátor
Příspěvky: 7257
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: Fake stranky v celej sieti

#8 Příspěvek od altrok »

Jakym zpusobem byl PC ransomwarem infikovan? RDP, priloha mailu...?
Mas na mikrotiku silne heslo, respektive sledujes failed login attempts?
Nemohlo dojit ke kompromitaci mikrotiku prostrednictvim napadene stanice (nebylo heslo k mikrotiku ulozene napr. ve WinBoxu napadene stanice)?
Pokud problem resis na vsech platformach (Win, iOS, Android), vypada to na problem s mikrotikem. Pokud neni doba od incidentu nekolik mesicu, mrkni do logu na mikrotiku.

Format je skoda... casto se da neco vytahnout z event vieweru. Nejake blizsi info o pouzitem ransomwaru mas (nazev/obsah souboru s instrukcemi, samotnou binarku, priponu zasifrovanych souboru, konktaktni mail, ...)?
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.

Uživatelský avatar
moldow
Návštěvník
Návštěvník
Příspěvky: 31
Registrován: 25 říj 2007 20:32

Re: Fake stranky v celej sieti

#9 Příspěvek od moldow »

Skusim zodpovedat na vsetky otazky:

- do infikovaneho PC bol az doteraz vytvoreny RDC pristup z vonku na standardnom porte, PC malo heslo, ale aj tak je dost pravdepodobne ze sa virusm mohol dostat do PC prave tadialto.
- heslo na mikrotiku bolo dost silne, ale preistotu som ho uz znova zmenil.
- winbox na napadnutom PC nebol, ale v mikrotiku bolo nastavene ziskavanie DNS zo siete automaticky, tym si Mikrotik osvojil nejake bulharske DNS, to som uz vymazal a DNSka som na routri zadal rucne.
- prekvapujuco logy na Miktoriku nie su dlhsie ako par hodin a tam nic nebolo.
- ukazka zakryptovaneho suboru https://drive.google.com/open?id=1C__yc ... Wo5MXW2xKB

Ked som nastavil rucne DNS na tie od IPS a sekundarne z GOOGLE a zaroven zablokoval na routrovom firewalle adresu "deloton.com" tak je klud. Ale akonahle zrusim firewall na tuto adresu, tak to tu je znova. Aj ked DNS na rourty budu nastavene v poriadku. Na zaklade toho usudzujem, ze stale je nieco v sieti, ale neviem kde by to mohlo byt.

Uživatelský avatar
JaRon
Moderátor
Moderátor
Příspěvky: 15198
Registrován: 29 bře 2005 13:39
Bydliště: BB-SK

Re: Fake stranky v celej sieti

#10 Příspěvek od JaRon »

pri daných poctoch a zostave pocitacov je zrejme, ze ide o isty druh firmy,
preto by som doporucil neslape.cz
Kedze je zrejme, ze siet nie je cista, bude potrebne najprv urcit zdroj nakazy:
Win alebo Mac :???: kedze ide o firmu, nemal by byt problem investovat
do nejakého AV pre MAC https://forum.viry.cz/viewtopic.php?f=29&t=151839
odomna vsetko, kolegovia mozno doplnia
FRST |ADWCleaner |MBAM |CCleaner |AVPTool

V prípade spokojnosti je možné podporiť fórum
https://platba.viry.cz/payment/

Uživatelský avatar
moldow
Návštěvník
Návštěvník
Příspěvky: 31
Registrován: 25 říj 2007 20:32

Re: Fake stranky v celej sieti

#11 Příspěvek od moldow »

S neslape.cz som to uz riesil a dany ransomware aktualne nie je mozne dekryptovat, takze preto bol urobeny ten format HDD.
Co sa tyka Anviru pre MAC, prebehol som zariadenia cez Bitdefender a Malwarebyte a boli ciste.
Skor si myslim ze to bude v nejakom zariadeni ako maly router, ktory robi podsiete, teoreticky nejaky mobilny telefon.

Uživatelský avatar
JaRon
Moderátor
Moderátor
Příspěvky: 15198
Registrován: 29 bře 2005 13:39
Bydliště: BB-SK

Re: Fake stranky v celej sieti

#12 Příspěvek od JaRon »

pisal si, ze Win masin nemas vela, ak si urobil zoek, skusil by som este MBAR a TDSSKiller, pravdepodobnost,
ze to robi nejaka Win masina je vysoka
FRST |ADWCleaner |MBAM |CCleaner |AVPTool

V prípade spokojnosti je možné podporiť fórum
https://platba.viry.cz/payment/

Uživatelský avatar
moldow
Návštěvník
Návštěvník
Příspěvky: 31
Registrován: 25 říj 2007 20:32

Re: Fake stranky v celej sieti

#13 Příspěvek od moldow »

Ok, vyskusam a dam vediet. Potrva to kym to vsetko prebehnem.

Odpovědět