Уважаемые пикабушники, Прошу вас не минусить пост сразу, а помочь найти мошенников!
по своей деятельности сталкиваюсь со всевозможными ПК и контроллерами. 13 января обратились в очередной раз с проблемой вируса-шифровальщика. Резервные копии помогают, но они бывают не у всех. В связи с этим провел анализ может это поможет найти злоумышленников и заставит отдел "К" работать. Заявление в полицию написано, информация передана (образец заявления конце).
сюда буду дописывать направления от пикабушников. Большое им спасибо что не равнодушны.
- сайт туризма и разработчиков на одном IP 90.156.201.12
- фирму для туризма могут использовать для "очистки денег" (в принципе есть логика, оказанные услуги проверить трудно,)
- написал письмо в DHL (рассылка якобы с их инвойсом) их специалисты готовы сотрудничать. скрин переписки приложил в конце статьи.
Верю в силу Пикабу. Комментарии для минусов внутри
Теперь все по порядку.
было получено письмо с ссылкой на инвойс.
скачивался файл "NOTIFICATION_DHL_13012017.zip"
внутри ява скрипт.
после того как он запущен все файлы шифрует с расширением no_more_ransom
после на рабочем столе файл README.txt
вообщем все стандартно.
сморим от куда тянет,
это 2 сайта:
msvol.ru - тут лежит скрипт
volosovotur.ru - тут лежит тело вируса.
по IP ясно что хостится на одном хостинге.
связываемся с мошенниками по электронке. просят 28 тыс рублей
смотрим тело письма
проверяем IP. один из них с Питера.
сайты на которых скрипт и тело вируса и отправление почты все идет из Питера.
заявление в полицию написано, данная информация передана.
образец заявления ниже.
порыв на volosovotur.ru обнаруживаем что сайт делают designselo.com
IP у них одинаковые. так что мысль о взломе можно отметать сразу же.
сайт поломали, созванивался разработчиками.
попросил логи что бы узнать откуда залили файл.
DHL тоже готовы сотрудничать что бы найти мошенников