При том, что я всегда очень стараюсь держать комп в здоровом состоянии, не досмотрел. Недельку назад мой комп внезапно отрубился, перестал узнавать жесткие диски и так далее. Ага. И диски при переключении все равно не узнавались, из под спец. программ для восстановления данных тоже. Решив, что это хороший повод перейти на виндоус7, я потихоньку начал обновлять комп и переставлять всякие проги, не знав еще тогда, что потерял.
Не хочу рассказывать, как уже неделю почти без сна я из фрагментов данных (накрылся и диск и его бякап - одновременно!) восстанавливаю собиравшуюся 20 лет музыкальную коллекцию, свои книги, конспекты, фотографии, базы данных клиентов, телефонные книги, архив написанной мною за эти десятилетия музыки, купленные программы (которые надо заново активировать)... В общем, 20 лет бякапов.
Я вам лучше расскажу, как в процессе всего этого у меня увели все деньги с Вебмани. Ну это, собственно, и было очевидно целью злоумышленников. А вовсе не моя бесценная музыка или еще более бесценные номера телефонов (да-да, бякапы были, которые накрылись точно также).
В общем схему я понял уже погуляв по интернету. Процитирую ее тут:
Мошенник делает следующее:
- покупает “трояна” за $100, который “собирают” специально для него (его не видят ни Касперский, ни Dr. Web, ни тем более всякие Avast, NOD и McAfee)
- “подсаживает” его вам на компьютер (например, через один из ваших сайтов, через почту, через ICQ)
- уводит пароль от кипера и волшебный файл <WMID>.init
- запускает кипер внутри специальной виртуальной машины, которая эмулирует аппаратно-программную среду на основе украденного кеш-файла ключей .init (WM Keeper Classic думает, что его запустили на той же машине и не попросит активацию и ключ от кошелька, а также подставит IP адрес из вашей же подсети, поэтому в логах будет ваш IP)
- меняет пароли и ключи, получает полный контроль над деньгами и WMID
Еще добавлю 6-й пункт - убивает к ебеням содержимое ваших дисков. А то вдруг вы вовремя сообразите, что доступ к Вебмани утерян.
В общем, восстановить инфу и доступ к Вебмани - это вопрос времени и денег. А вот деньги с кошельков утеряны безвозвратно. Их обычно сразу же выводят через обменники. И некоторые выводы:
1. Антивирусы и файрволы (все это было) - это конечно хорошо, но когда кто-то захочет пробраться на твой комп, его мало что остановит.
2. Храните деньги в сберегательной кассе - то есть в банке. Электронные деньги конечно это удобно, но удобство компенсируется легкостью их кражи. А остаться в какой-то момент буквально без штанов - это невесело.
3. Лучше иметь на один бякап больше. Возможно онлайн бякап. Еще не знаю, где лучше всего хранить 2 террабайта информации. Да и залить их туда будет ох непросто...
Что-то мне это напоминает... У меня комп вот так же накрылся на работе медным тазом. Тьма инфы оказалась недоступна. Только электронных денег у меня нет совсем. Кошелек завела, но из-за непроходимой своей тупости денег туда так ни разу и не положила, в конце-концов и пароли от этого кошелька забыла. Но геморою с восстановлением инфы!
Вот иногда похоже, что даже здорово не пользоваться электронными деньгами - по крайней мере тогда финансы останутся нетронутыми.
вывод - кипер надо запускать на отдельном компе
да. похоже, что так. плюс enum активно использовать. к сожалению не мог использовать привязку по IP в силу того, что он у меня динамический.
как вариант из под виртуалки, которую исп только для этого
Лучший антиврус, это ходить в инет исключительно из линукса.
Бекап лучше иметь на внешнем диске, лучше на паре внешних дисков в рейде зеркале
да. спасибо за идеи. действительно надо будет обустраивать бякапы на внешних дисках. как-то я не думал, что индустрия кражи ключей от вебмани настолько развита. и настолько индивидуализирована.
И я не знал... правда я даже обычной карточкой не люблю расплачиваться. 🙂
сочуствую 🙁
а на манях было много денех?
спасибо.
на манях много да. у меня где-то половина дохода месячного - это всякие электронные платежи. и несколько месяцев я их оттуда не снимал.
Нда...
Статья на иврите о безплатных сайтах для хранения:
http://www.ynet.co.il/articles/0,7340,L-3821684,00.html
Там ещё посмотри ещё комменты.
И одолжи у кого то модем с быстрым upload.
спасибо.
уфф... неприятная история... Сочувствую! Я когда переводил для одного сайта, сидел в комнате с фройд инвестигейтором компании - таких историй наслушался, ужас!
угу. кушать в ближайшие месяцы придется поменьше.
кошмар любого человека, кто имеет комп.
я тут как то восстанавливала контроль над ВМИД, умучалась и тоже советовала хранить деньги в сберегательной кассе.
веб мани лучше использовать только перевалочной базой для денег, много там лучше не хранить. кошельки воруют почем зря и вообще всякое может случится.
угу 🙁
Фигасе, ты первый на моей памяти пострадавший от интерента...
Но вообще с бэкапами ты конечно жёстко пролетел. Понимаю что поздно говорить, но один то должен в стороне лежать, неподключенный. Вдруг например блок питания в компе пробьёт и он электронику всю попалит.
Слушай, а ты не думал сам заняться такими грабежами, раз уж работает технология?
Я совсем не криминальный. И думаю, что тут быстрее возьмут за попу, чем в России.
А с бякапами протупил да. Ну и с деньгами за пару месяцев работы.
Вот.
мдя 🙁 ну, переживаемо, конечно, но неприятно.
Вот же, ёлочки, у меня недавно винт полетел (правда, всего поменьше было, но все равно, жаль и музыки, и видео, и пяти глав написанного романа). Понять не могла, из-за чего, а теперь вот думаю, может, тоже из-за вебмани. Правда, сумма у меня смешная лежала, но, знаешь, бывает и пять баксов весьма в тему, тем более, что мне за них три дня рерайтить по несколько часов приходилось...
И восстановление контроля над ВМИД - это то еще развлечение, согласна с предыдущим комментатором.
вот. как раз начал восстанавливать контроль над WMID. очень надеюсь, что будет не очень страшно долго. говорят, что персональный аттестат - где-то две недели. денег жалко 🙁
Конечно, жалко, не с неба, чай, падают...
Есть такое, наверняка Вам-то уж точно известное средство - предположить, что благодаря потере этих денежек Вам не грозит большая потеря, та, которая могла бы быть настоящей бедой.
Неловко мне советовать Вам, но все же, вдруг помогу хоть немного )
вполне рабочая схема, учитывая количество свежих критических дыр в браузерах под Win, несложная в реализации.
Поставьте и настройте нормальный файрвол и детектор инжекций в чужие процессы, они друг друга дополняют.
В каспере 2009 такой детектор есть.
Естессно ставить все это хозяйство на чистую машину.
пробую вот "kaspersky internet security 2011" (по моему бета-версия) - я не знал, что там есть детектор инжекций - как раз искал его.
спасибо вам большое за рекомендацию!
Проактивная защита это хорошо, но не панацея 😉
Вообще, заведите на машине два аккаунта, один с правами администратора, второй с правами обычного юзера.
Для юзера настройте локальную политику безопасности на максималку. И жестко ограничьте права на запись изменение критических веток в реестре. Ставите весь софт из под админа, а дальше всегда работаете под юзером. Данный шаг капитально повысит устойчивость системы.
ахуеть просто.......
желаю тебе побыстрее справиться со всем этим.
спасибо большое!
ой, какой стресс, брр
но когда кто-то захочет пробраться на твой комп, его мало что остановит - в случае домашнего, 100% истина
угу. стрессую уже неделю. не сплю почти.
Сочувствую.
Такие истории - одна из причин того, почему я сижу на линуксе.
А кипер на специальной виртуальной машинке в VirtualBox, запускается вся машинка, только когда надо сделать что-то с вебманями, и естественно с неё никакого сёрфинга, чтения почты etc.
нда - боюсь что к этому все и у меня идет....
Сочувствую, Слава.
И спасибо, что написал - чайников вроде меня больше, чем таких продвинутых, как ты, так что попробую учиться на чужих ошибках.
А тебе - скорейшего восстановления - и компьютерного, и морально-финансового.
Сочуствую. Просто кошмар какой-то. Если надо срочно оплатить что-то вебманями - свистни.
А со схемой что-то не очень понятно. Даже если так просто собрать вирус, невидимый для всех защит; и даже если фаервол прошляпил intrusion; и даже если этот вирус сам запустился как-то - как же он обошел внутреннюю защиту процессов? KIS, например, за этим следит весьма параноидально.
Можешь поделиться - какая защита у тебя стояла?
пока сигнатуры файла не попали в базу антивируса, файл считается нормальным. Звристику авера можно легко приземлить, например написав програму без использования таблицы импорта, используя напрямую коды смещений + пару трюков.
Насчет файрвола, понятие intrusion применимо в случае атаки на сетевой сервис, а вредоносный код можно спокойно подцепить через дыру в браузере или флэш плеере, или обработчике файла Excel.. =)) + еще много как..
Выполниться? Банальная дыра на срыв стека, приводящая к выполнению шеллкода, или еще много как) Например java в браузере включена..
Запуститься можно до запуска антивируса, если надо.. Шлюзануться до нулевого кольца, и работать с сетью через NDIS интерфейс, на##ать файрвол там в разы проще.
вот. спасибо.
был инжект в процесс svchost, как я понимаю.
на момент происходящего у меня стоял антивирус майкрософтовский, майкрософтовский же файрвол, а также регулярные раз в пару дней тесты программами Spybot - Search & Destroy и eset online antivirus.
понимаю, что все это бесплатное и не самый качественный набор (в сравнении с тем же KIS), но мечталось мне использовать бесплатные программы для компа.
сочувствую и спасибо за информацию.
Да уж, только посочувствовать и остается...