При том, что я всегда очень стараюсь держать комп в здоровом состоянии, не досмотрел. Недельку назад мой комп внезапно отрубился, перестал узнавать жесткие диски и так далее. Ага. И диски при переключении все равно не узнавались, из под спец. программ для восстановления данных тоже. Решив, что это хороший повод перейти на виндоус7, я потихоньку начал обновлять комп и переставлять всякие проги, не знав еще тогда, что потерял.

Не хочу рассказывать, как уже неделю почти без сна я из фрагментов данных (накрылся и диск и его бякап - одновременно!) восстанавливаю собиравшуюся 20 лет музыкальную коллекцию, свои книги, конспекты, фотографии, базы данных клиентов, телефонные книги, архив написанной мною за эти десятилетия музыки, купленные программы (которые надо заново активировать)... В общем, 20 лет бякапов.

Я вам лучше расскажу, как в процессе всего этого у меня увели все деньги с Вебмани. Ну это, собственно, и было очевидно целью злоумышленников. А вовсе не моя бесценная музыка или еще более бесценные номера телефонов (да-да, бякапы были, которые накрылись точно также).

В общем схему я понял уже погуляв по интернету. Процитирую ее тут:

Мошенник делает следующее:

  1. покупает “трояна” за $100, который “собирают” специально для него (его не видят ни Касперский, ни Dr. Web, ни тем более всякие Avast, NOD и McAfee)
  2. “подсаживает” его вам на компьютер (например, через один из ваших сайтов, через почту, через ICQ)
  3. уводит пароль от кипера и волшебный файл <WMID>.init
  4. запускает кипер внутри специальной виртуальной машины, которая эмулирует аппаратно-программную среду на основе украденного кеш-файла ключей .init (WM Keeper Classic думает, что его запустили на той же машине и не попросит активацию и ключ от кошелька, а также подставит IP адрес из вашей же подсети, поэтому в логах будет ваш IP)
  5. меняет пароли и ключи, получает полный контроль над деньгами и WMID

Еще добавлю 6-й пункт - убивает к ебеням содержимое ваших дисков. А то вдруг вы вовремя сообразите, что доступ к Вебмани утерян.

В общем, восстановить инфу и доступ к Вебмани - это вопрос времени и денег. А вот деньги с кошельков утеряны безвозвратно. Их обычно сразу же выводят через обменники. И некоторые выводы:

1. Антивирусы и файрволы (все это было) - это конечно хорошо, но когда кто-то захочет пробраться на твой комп, его мало что остановит.
2. Храните деньги в сберегательной кассе - то есть в банке. Электронные деньги конечно это удобно, но удобство компенсируется легкостью их кражи. А остаться в какой-то момент буквально без штанов - это невесело.
3. Лучше иметь на один бякап больше. Возможно онлайн бякап. Еще не знаю, где лучше всего хранить 2 террабайта информации. Да и залить их туда будет ох непросто...

Тэги записи: hard and soft

37 Comments

  1. Что-то мне это напоминает... У меня комп вот так же накрылся на работе медным тазом. Тьма инфы оказалась недоступна. Только электронных денег у меня нет совсем. Кошелек завела, но из-за непроходимой своей тупости денег туда так ни разу и не положила, в конце-концов и пароли от этого кошелька забыла. Но геморою с восстановлением инфы!

    • Вот иногда похоже, что даже здорово не пользоваться электронными деньгами - по крайней мере тогда финансы останутся нетронутыми.

    • да. похоже, что так. плюс enum активно использовать. к сожалению не мог использовать привязку по IP в силу того, что он у меня динамический.

  2. Лучший антиврус, это ходить в инет исключительно из линукса.
    Бекап лучше иметь на внешнем диске, лучше на паре внешних дисков в рейде зеркале

    • да. спасибо за идеи. действительно надо будет обустраивать бякапы на внешних дисках. как-то я не думал, что индустрия кражи ключей от вебмани настолько развита. и настолько индивидуализирована.

      • И я не знал... правда я даже обычной карточкой не люблю расплачиваться. 🙂

    • спасибо.

      на манях много да. у меня где-то половина дохода месячного - это всякие электронные платежи. и несколько месяцев я их оттуда не снимал.

  3. уфф... неприятная история... Сочувствую! Я когда переводил для одного сайта, сидел в комнате с фройд инвестигейтором компании - таких историй наслушался, ужас!

  4. кошмар любого человека, кто имеет комп.
    я тут как то восстанавливала контроль над ВМИД, умучалась и тоже советовала хранить деньги в сберегательной кассе.
    веб мани лучше использовать только перевалочной базой для денег, много там лучше не хранить. кошельки воруют почем зря и вообще всякое может случится.

  5. Фигасе, ты первый на моей памяти пострадавший от интерента...

    Но вообще с бэкапами ты конечно жёстко пролетел. Понимаю что поздно говорить, но один то должен в стороне лежать, неподключенный. Вдруг например блок питания в компе пробьёт и он электронику всю попалит.

    Слушай, а ты не думал сам заняться такими грабежами, раз уж работает технология?

    • Я совсем не криминальный. И думаю, что тут быстрее возьмут за попу, чем в России.

      А с бякапами протупил да. Ну и с деньгами за пару месяцев работы.

      Вот.

  6. Вот же, ёлочки, у меня недавно винт полетел (правда, всего поменьше было, но все равно, жаль и музыки, и видео, и пяти глав написанного романа). Понять не могла, из-за чего, а теперь вот думаю, может, тоже из-за вебмани. Правда, сумма у меня смешная лежала, но, знаешь, бывает и пять баксов весьма в тему, тем более, что мне за них три дня рерайтить по несколько часов приходилось...
    И восстановление контроля над ВМИД - это то еще развлечение, согласна с предыдущим комментатором.

    • вот. как раз начал восстанавливать контроль над WMID. очень надеюсь, что будет не очень страшно долго. говорят, что персональный аттестат - где-то две недели. денег жалко 🙁

      • Конечно, жалко, не с неба, чай, падают...
        Есть такое, наверняка Вам-то уж точно известное средство - предположить, что благодаря потере этих денежек Вам не грозит большая потеря, та, которая могла бы быть настоящей бедой.
        Неловко мне советовать Вам, но все же, вдруг помогу хоть немного )

  7. вполне рабочая схема, учитывая количество свежих критических дыр в браузерах под Win, несложная в реализации.
    Поставьте и настройте нормальный файрвол и детектор инжекций в чужие процессы, они друг друга дополняют.
    В каспере 2009 такой детектор есть.
    Естессно ставить все это хозяйство на чистую машину.

    • пробую вот "kaspersky internet security 2011" (по моему бета-версия) - я не знал, что там есть детектор инжекций - как раз искал его.

      спасибо вам большое за рекомендацию!

      • Проактивная защита это хорошо, но не панацея 😉
        Вообще, заведите на машине два аккаунта, один с правами администратора, второй с правами обычного юзера.
        Для юзера настройте локальную политику безопасности на максималку. И жестко ограничьте права на запись изменение критических веток в реестре. Ставите весь софт из под админа, а дальше всегда работаете под юзером. Данный шаг капитально повысит устойчивость системы.

  8. ахуеть просто.......
    желаю тебе побыстрее справиться со всем этим.

  9. ой, какой стресс, брр

    но когда кто-то захочет пробраться на твой комп, его мало что остановит - в случае домашнего, 100% истина

  10. Сочувствую.
    Такие истории - одна из причин того, почему я сижу на линуксе.
    А кипер на специальной виртуальной машинке в VirtualBox, запускается вся машинка, только когда надо сделать что-то с вебманями, и естественно с неё никакого сёрфинга, чтения почты etc.

  11. Сочувствую, Слава.
    И спасибо, что написал - чайников вроде меня больше, чем таких продвинутых, как ты, так что попробую учиться на чужих ошибках.

    А тебе - скорейшего восстановления - и компьютерного, и морально-финансового.

  12. Сочуствую. Просто кошмар какой-то. Если надо срочно оплатить что-то вебманями - свистни.

    А со схемой что-то не очень понятно. Даже если так просто собрать вирус, невидимый для всех защит; и даже если фаервол прошляпил intrusion; и даже если этот вирус сам запустился как-то - как же он обошел внутреннюю защиту процессов? KIS, например, за этим следит весьма параноидально.

    Можешь поделиться - какая защита у тебя стояла?

    • пока сигнатуры файла не попали в базу антивируса, файл считается нормальным. Звристику авера можно легко приземлить, например написав програму без использования таблицы импорта, используя напрямую коды смещений + пару трюков.
      Насчет файрвола, понятие intrusion применимо в случае атаки на сетевой сервис, а вредоносный код можно спокойно подцепить через дыру в браузере или флэш плеере, или обработчике файла Excel.. =)) + еще много как..
      Выполниться? Банальная дыра на срыв стека, приводящая к выполнению шеллкода, или еще много как) Например java в браузере включена..
      Запуститься можно до запуска антивируса, если надо.. Шлюзануться до нулевого кольца, и работать с сетью через NDIS интерфейс, на##ать файрвол там в разы проще.

    • вот. спасибо.

      был инжект в процесс svchost, как я понимаю.

      на момент происходящего у меня стоял антивирус майкрософтовский, майкрософтовский же файрвол, а также регулярные раз в пару дней тесты программами Spybot - Search & Destroy и eset online antivirus.

      понимаю, что все это бесплатное и не самый качественный набор (в сравнении с тем же KIS), но мечталось мне использовать бесплатные программы для компа.

Comments are closed.