Всем привет! Как и обещал в предыдущем посте, расскажу историю, которая недавно со мной приключилась. Но обо всем по порядку.
Как я уже говорил, у меня есть «свой человек», который снабжает платными мануалами и темами, так вот он в районе 00-00 по МСК. скинул очередную пачку «чтива». Так как человек был проверенный, я сильно не зацикливал внимание на расширении файлов, как оказалось один из них имел DOC.EXE. Так вот, прочитав мануалы, я лег спать и был разбужен странной смс в 5 утра:
«Иван, бла-бла, ваша страница ВК заблокирована за рассылку спама». К слову сказать меня зовут не Иван, но желание спать победило любопытство и я выкинув телефон подальше проспал до обеда. проснувшись я стал разбираться в произошедшем, оказалось кто-то увел страницу ВК, сменив имя/фамилию, удалив половину друзей и все фотографии, причем рассылались сообщения с рекламой программы VkBot. Ну это не суть, оказалось что были уведены пароли от всех почтовых ящиков, серверов, соц. сетей и тд. К сожалению у меня нет привычки привязывать ящики к мобильным телефонам…
Первая мысль — «что за пи//дец», потом уже мозг начал соображать в нормальном ключе и первое что пришло на ум — восстановить почтовые ящики. К слову сказать тех. поддержка mail.ru сработала оперативно и со всеми предоставленными данными вернула мне пароли от 2 почт из 3. Как не обидно было, но 3 была самая важная, так как на нее было повешено много панелей с доменами без реальных данных и в случае чего можно было их лишиться окончательно и бесповоротно.
Зайдя на 1 из взломанных почт оказалось, что злоумышленник сбросил пароли у всех панелей хостингов, партнерок, регистраторов и до кучи увел все деньги с единого кошелька W1. C яндекс денег снять $$$ не получилось, так как платежный пароль кулхацкеры не знали.
Конечно можно было забить на это все, кое-как договориться с ТП mail.ru о восстановлении почты, плюнуть на украденные деньги и впредь быть умнее, но …
Взломщики ( или взломщик ) скорее всего не отличались особым умом и сообразительностью, а может считали, что им все сойдет с рук и изрядно наследили на сервере, оставив кучу девственно чистых логов.
Всю техническую часть поиска я опущу, скажу лишь что через 2 часа у меня была почта предполагаемого взломщика и его ICQ. Теперь был вопрос что делать? Проживал субъект в Украине и хотя он нарушил как минимум 5 статей УК РФ, прижать его по-хорошему врятли бы получилось. Кое-какие подвязки с «отделом К» у меня были, но учитывая тот факт, что они иногда не чешутся если пропадет 20к зелени с кошелька, то писать заявление, ставить коньяк и тратить нервы я посчитал себе дороже, даже если найдут и посадят этого ОЛО-лошу, по другому назвать никак не могу, лучше никому не станет.
В итоге я решил пойти на контакт с «взломщиком», приведу часть переписки:
-Взломщик- (23:16:46 28/02/2013)
Здраствуйте
-Я- (23:16:52 28/02/2013)
—тут ник— ник о чем-нибудь говорит вам?
-Я- (23:26:34 28/02/2013)
Просто довожу до вашего сведения, что сегодня был взломан сайт + несколько почт, много ниток ведет к пользователю с ником —-,возможно, простое совпадение, в отделе К разберутся, если он действительно причастен к взлому, есть возможность решить все мирным путем, в противном случае заявление завтра вечером будет в полиции. Если вы к этому никакого отношения не имеете — не переживайте, считайте, что я ошибся. Если же взаимосвязь есть, пусть отпишет на seoonly@mail.ru. Еще раз извиняюсь если ошибся. Всего доброго
-Взломщик- (23:30:57 28/02/2013)
Оффлайн сообщение (00:28:47 1/03/2013)
Вы еще тут?
-Я- (23:31:03 28/02/2013)
да
-Взломщик- (23:31:24 28/02/2013)
Я моггу вам помочь
-Я- (23:31:34 28/02/2013)
каким образом?
-Взломщик- (23:36:12 28/02/2013)
Скажем так в моих интересах как вы говорите решить все мирным путем. Думаю и в ваших. Не стоит понимать это как признание, скажем так я могу вам помочь и мне не нужны неприятности которыми вы угрожаете. Думаю мы должны понять друг друга
-Взломщик- (23:44:54 28/02/2013)
Давайте приступим к делу. Наверно вы поняли что я могу и хочу вам помочь, но я и не хочу неприятностей от вас в тоже время. Что в ответ вы будете делать я понятия не имею.
-Взломщик- (23:50:19 28/02/2013)
тут?
-Я- (23:50:37 28/02/2013)
Мне изза XX долларов, уведенных и 2 взломанных почт самому не хочется писать заявление и тратить свое время, если вы или ваш товарищ, либо кто-то другой кого вы знаете имеет отношение к взлому почты seoonly@mail.ru , в чем вы уже косвенно признались, то меня интересует возвращение всех паролей, так как менять их везде долго и время затратно, возвращение XX $ обратно на кошелек W1 + компенсация за мой потраченный день. В любом случае логи на серверах записались и никакие прокси/соксы не помеха чтобы отыскать человека, угрожать на словах не собираюсь, да и смысла в этом нет, но заявление в случае чего попросту лежать не будет. Слушаю Вас
-Взломщик- (23:56:58 28/02/2013)
Я понял ваши условия. Готов вам помочь
-Взломщик- (00:00:34 1/03/2013)
давайте разберемся
-Взломщик- (00:00:55 1/03/2013)
какие именно данные вам нужны?
-Взломщик- (00:01:09 1/03/2013)
мне нужно конкретно узнать
-Я- (00:07:40 1/03/2013)
Фразы «Готовь вам помочь» и прочие меня уже раздражают
Где конкретика и пароли? От себя лично могу гарантировать если все будет восстановлено + возмещены убытки об инциденте я забываю.
-Взломщик- (00:10:51 1/03/2013)
я делаю все что я могу, но если моя помощь не оправдает ваших ожиданий я пострадаю
-Взломщик- (00:12:31 1/03/2013)
Конкретика сейчас будет
-Взломщик- (00:12:54 1/03/2013)
я уже делаю все возможное
-Взломщик- (00:13:27 1/03/2013)
Не знаю подойдет или нет
ТУТ логин/пароль от почты
-Взломщик- (00:13:32 1/03/2013)
но у меня такая инфа
-Я- (00:16:16 1/03/2013)
вошло, дальше по списку
В общем он вернул мне все пароли и деньги. Конечно была возможность поставить его на $$$ под угрозой слива информации о нем куда надо, но этого делать не стал, благо свое вернулось и я был доволен.
Теперь что касается самого взлома, антивирус AVAST — днище еб..ное, по другому сказать не могу, так как не засек угрозу, да и сам я «хорош», так как хранил пароли в браузере. Заявление о том, что гугл ХРОМ самый быстрый и безопасный браузер тоже подвергнуто сомнению, так как, скорее всего по аналогии с оперой и программой UNWAND, есть аналогичная для хрома, способная вытащить закодированные пароли.
Что мы имеем в итоге. Лицензионная WINDOWS 7, гугл ХРОМ с сохраненными в нем паролями, антивирус АВАСТ с последними базами и мануал-троян с расширением doc.exe.
Как я потом выяснил, этот мануал распространялся по многим варезникам и файлообменникам с различным названием «кнопка бабло», «кнопка бабло за 1 день» и тд. Справедливости ради стоит сказать, что и Dr.Web CureIt! не нашел угрозу, только старый добрый КАСПЕРСКИЙ не подвел.
Вот такая вот странная история получилась, пусть и с happy endОМ. Ну и пару рекомендаций:
- Не храните пароли в браузере
- Привяжите почту/доменные панели к телефону
- Не доверяйте 1 антивирусу
- Не открывайте подозрительные файлы, пусть даже их прислал проверенный человек
- Просто не разевайте варежку : )
В комментариях можете изложить свои мысли по этому поводу и то, как бы вы поступили на моем месте.
Всем хорошего дня! PS всех ДАМ с 8 марта!
Шимануть бы этого компьютерного маньяка, я клавиатурой ему по моське настучать, и еще руку в жопу засунуть, чтобы знал как плохими делами заниматься)
И тут я понял, что такое бывает O_o
Дочитал Ваш инцидент до конца, благо что все хорошо, а как насчет использования KeePass lkz для хранении паролей?…
только блокнотовский файлик с паролями, только хардкор
Капец, а я сам храню всё на компе, ну их нах пижоров….
Ну и взломщики нынче пошли… больше такого не было?