Банкоматик, не болей
Когда банкомат устал и вместо того, чтобы дать деньги, просит их у тебя ... биткоинами
Когда банкомат устал и вместо того, чтобы дать деньги, просит их у тебя ... биткоинами
Вот и спал пик обсуждения вируса-шифровальщика WannaCry ( он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt...), но в посте о декрипторах задавались вопросы по поводу случаев оплаты (биткоинами) расшифровки файлов хакерам.
Сегодня вернулся на Пикабу и решил порыть интернет на предмет дохода создателей зловреда. Это оказалось проще простого и заработали хацкеры:
Total ransomed: $130,240.63. Last payment made at: May 25th, 1:01 PM
График с сайта https://www.elliptic.co/wannacry/
Онлайн транзакции поступающие на биткоин адреса злоумышленников можно отследить в твиттер-боте по адресу:
Ведется трансляция с обозревателя блоков blockchain.info, ниже ссылки на транзакции по трем биткоин-адресам создателей вируса:
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8is...
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6N...
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNX...
Расшифровка.
А вот информации от оплативших расшифровку нет, как нет информации о намерении хакеров успокоить душу народа и дешифровать информацию после оплаты((((
Но на хабре нашлась инфа о принципе работы кнопки Decrypt, а так же о том, что у злоумышленников нет способа идентификации пользователей, отправивших битки, а значит пострадавшим никто ничего восстанавливать не будет :
"Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.
А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки."
https://habrahabr.ru/company/pentestit/blog/328606/#comment_...
Похоже что заплатив выкуп ничего не добьемся, так что... мы помним что делать чтобы обезопаситься:
http://pikabu.ru/story/poznakomimsya_s_wannacry_poblizhe_504...
http://pikabu.ru/story/ssyilki_na_obnovleniya_microsoft_ms17...
Кто-то из сотрудников открыл письмо и запустил вирус, 3 админа не могут разблокировать. Как я понимаю файлы зашифрованы и никак не восстановить? коменты для минусов внутри поста
На одном небезызвестном ресурсе появилась информация по майнеров в раздачах, посему решил создать этот пост дабы люди проверили свои компьютеры.
Далее цитата:
К вам обращается R.G.GameWorks
В связи со сложившейся ситуацией мы хотели бы принести Вам свои извинения за подлые действия нашего члена группы - N1K0LS0N.
Он без нашего ведома, позволил себе залить майнер в пару последних раздач от нашей группы.
Мы крайне огорчены тем, что Вам пришлось испытать трудности с этим. Вирус на компьютере - вещь не из приятных. А майнер, тем более.
С момента создания группы, в 2012 году и по сей день, наша группа радует пользователей Rustorka свежими, а самое главное, качественными релизами ПК игр.
С членами группы R.G.GameWorks была проведена беседа о недопустимости таких действий. Решением было изгнание N1K0LS0N из R.G.GameWorks, а так же пожизненный бан на трекере.
Мы очень сожалеем и надеемся, что этот инцидент не сможет повлиять на Ваше видение о группе в целом. Мы стараемся для Вас.
Удаление майнера:
1. Включить показ скрытых файлов и папок
2. Зайти в локальный диск С, найти в поиске папку Realtek HD (обычно ставится в C:\Users\имя_юзера\AppData\*****\Realtek HD
3. Удалить папку целиком (если не получается - закрыть в диспетчере задач процесс rthdcpl.exe)
Содержимое папки с майнером выглядит так:
Релизы с майнерами:
HITMAN Anthology / HITMAN Антология (Square Enix) (RUS/ENG/MULTi) [L|Steam-Rip] R.G. GameWorks
Trials of the Blood Dragon (Ubisoft) (RUS/ENG/MULTi10) [L|Steam-Rip] R.G. GameWorks
We Happy Few (Compulsion Games) (ENG/FR) [L|Steam-Rip] R.G. GameWorks
INSIDE (Playdead) (RUS/ENG/MULTi14) [L|Steam-Rip] R.G. GameWorks
No Man's Sky (Hello Games) (RUS/ENG/MULTi12) [L|Steam-Rip] R.G. GameWorks
Доброго времени суток, дорогие Пикабушники.
Грустил я вчера ночью, тупя в экран ПК, задыхаясь от жары и отмахиваясь от роя комаров. И пришла мне в голову мысль, что громковато работает куллер, надо бы пыль почистить в системнике. А может просто из-за 35 градусов на улице комп себя охлаждает. Ему виднее.
В общем лезть под стол и откручивать винты мне было лень, а в голове всплыли обрывки информации со словом "майнинг", мол злоумышленники могут использовать вашу кровью и потом купленную видяху для вычислений с целью обогатиться биткойнами.
Монитор вот он, лезть не надо никуда, скачал программку "ProcessExplorer" (ссылка или в конце, или в комментах) запустил. По умолчанию, загрузка GPU не отображена. Добавляем в View/Select Columns (ПКМ на названии столбцов) все что связано с GPU, и кликнув по заголовку одной из колонок, сортируем по GPU для удобства:
И ищем подозрительных гостей в топе поедания ресурсов GPU... У меня это был процесс ISSCH.EXE, в папке по пути Пользователь/AppData/Local/StardewValley(???)/ISSCH
Как видим, если сам файл ISSCH.EXE еще не достаточно для вас подозрителен (кстати опознавался он как легальный процесс), то файл decredGeForce GTX 770gw256l4tc4032.bin явно наводит на некоторые мысли)
Теперь к самому интересному. Файлы были созданы в тот день, когда все радостно пиратили (ЙОХХОХО!) продукты с Denuvo, лично я скачал с Пиратской бухты Inside, TombRaider и Doom. Чтобы "мега кряк" заработал, надо было снять панталоны, в лице аваста, и повернуться к лесу жопкой - установится могло все что угодно. И почему то поставилось в папку StardewValley которую я запускал пол года назад. Вот она если кто не помнит.
Уж не знаю, хитрый ли болгарин Voksi решил набить мошну, или еще кто, но многие в те дни светили жопой в чаще леса. Проверьтесь, друзья)
P.S. Я во всем этом не сильно разбираюсь, возможно все написанное мной выше бред и паранойя.
Ссылка - https://technet.microsoft.com/ru-ru/sysinternals/bb896653.as...
Несколько дней назад на торрентах появились репаки популярных игр Doom, Just cause, Rise of the Tomb Rider. Особенно репаки от Seytera. Если вы пробовали их, обязательно проверьте компы с помощью Avira Free. В пиратских репаках обнаружены бит-койн майнеры и трояны. Проверьте Авирой даже если у вас стоит Каспер. Не превращайте свой комп в зомби. Для тех кто понимает по-английски, пруф тут https://www.reddit.com/r/CrackStatus/comments/4x0nt1/jc3_xl_...
Новая версия трояна-вымогателя CTB-Locker передаёт ключи для востановления зашифрованных файлов в транзакциях Bitcoin. Это надёжнее, чем отправлять их через сеть заражённых сайтов-посредников, которые в любой момент могут исчезнуть.
Первые версии CTB-Locker, замеченные в прошлом году, атаковали персональные компьютеры. Спустя несколько месяцев его создатели изменили тактику и разработали модификацию трояна, которая поражает не компьютеры пользователей, а веб-сайты. Новый CTB-Locker шифрует файлы, размещённые на сервере, а затем требует выкуп.
У трояна с самого начала имелась интересная особенность: он позволял жертве расшифровать пару файлов бесплатно. Смысл такой демонстрации возможностей, по-видимому, заключался в том, чтобы убедить пользователя, что всё честно. Будет выкуп — будут и файлы.
Недавно специалисты по информационной безопасности из Sucuri обратили внимание, что стоимость пробной расшифровки подросла. Теперь CTB-Locker требует за неё 0,0001 биткоина (около трёх рублей). Это мизерная сумма, сравнимая со комиссией за проведение транзакции. Заработать на ней невозможно.
Повышение цены понадобилось по другой причине. Прежние версии трояна проверяли получение выкупа при помощи сети заражённых сайтов-посредников. Проблема заключалась в том, что заражённые сайты время от времения вылечивают. В результате троян мог потерять связь со всеми известными ему посредниками.
Мартовская версия CTB-Locker отказалась от сайтов-посредников в пользу хранения информации в блокчейне Bitcoin. Для каждого зашифрованного сервера скрипты злоумышленников создают адрес Bitcoin. Если на него придут деньги, они создадут новую транзакцию с ключом для расшифровки в метаданных, а полученные от жертвы 0,0001 биткоина пойдут на оплату комиссии. Трояны на заражённых серверах мониторят появление транзакций с ключами в блокчейне при помощи программного интерфейса blockexplorer.com.
Это очень надёжный метод коммуникации, однако специалисты Sucuri сомневаются, что он поможет создателям CTB-Locker. Судя по неуклонному снижению размера выкупа, который требует троян, им никто не хочет платить. Причина, по всей видимости, в том, что владельцев веб-серверов не так легко запугать. В отличие от обычных пользователей, у них обычно есть резервные копии всех файлов.
Материалы:
Продолжая линейку о шифровальщиках-вымогателях http://pikabu.ru/story/govoryashchiy_virusvyimogatel_cerber_...
Информация из Sucuri https://blog.sucuri.net/2016/04/website-ransomware-ctb-locke...
Справились? Тогда попробуйте пройти нашу новую игру на внимательность. Приз — награда в профиль на Пикабу: https://pikabu.ru/link/-oD8sjtmAi
Сегодня при тесте своей видеокарты заметил что gpu usage 95 % при простое всей системы(софтина GPU-Z весит пару мегабайт).
Стало интересно в чем собственно дело. Мной был установлен Process Explorer ( аналог диспетчера задач) отсортировал процессы по имени производителя и о чудо сверху сидел тот самый процесс который кошмарил мою систему, после его kill'a загрузка gpu падает на ноль. Проверьте свой ПК мало ли у вас такая же проблема ? Лечится установкой любого антивиря с хорошей репутацией . Причина печального поста без картинок ибо виснет к херам при дополнении еще 1 картинки ^_^