Правообладателям
Если Вы столкнулись с нарушением Ваших авторских прав - просьба ознакомиться с данной страницей для правообладателей и выполнить все указанные требования для удаления материала с сайта.
Правообладателям
Правообладателям
Если Вы столкнулись с нарушением Ваших авторских прав - просьба ознакомиться с данной страницей для правообладателей и выполнить все указанные требования для удаления материала с сайта.
Правообладателям
12 октября, 2016
Здравствуйте.
Не секрет, что у нашего проекта много недоброжелателей, которые пытаются помешать нам работать. Несколько месяцев назад мы писали статью про то, как нашли одного начинающего хак человека, который пытался подсунуть одному из наших сотрудников вредоносное ПО. После открытия сервиса EliteService.Me, количество недовольных увеличилось в несколько раз, а после размещения баннеров некоторых сервисов, количество хейтеров просто зашкаливало. Мы привыкли выслушивать угрозы, наблюдать различные попытки вывести нас из строя. Мотивы атакующих непонятны, разве что – это зависть, обидочка, злость из-за того, что мы развиваемся настолько быстро, что трудно представить. Около недели назад мы легли под мощной DDoS-атакой. Атаковали сайт и форум одновременно, но так как все находится на одном сервере – не работало ничего. Подобной мощности атаки были в прошлом году, когда у нас был простой больше суток. На текущий момент у нас на обслуживании находится большой коммерческий проект, владелец которого потерпел большие убытки от простоя. Именно он оплатил расследование DDoS-атаки одной компании, которая занимается этими делами. Но на DDoS-атаке дело не закончилось. Ребята решили, что они намного умнее нас и пошли дальше. Об этом мы сейчас и расскажем. Поехали!
Через время, как мы отбили атаку, на почту отдела жалоб пришел документ:
Наш человек не обратил внимание, так как это было похоже на обычный спам. Сейчас поясню для всех, кто не знает, что содержат такие “документы”. Как только вы открываете документ на ПК, к Вам закачивается вредоносное ПО злоумышленника. В основном, это криптолокеры. На этот документ никто бы не обратил внимание, если бы буквально на следующий день человек не получил снова такое письмо, но уже не в формате Excel, а в формате MS Word. Причем для убедительности письмо было отправлено в отдел жалоб с несуществующего почтового адреса нашего сайта:
Тут стало понятно, то это целенаправленная атака на нас. Эти два файла я сразу отдал своему партнеру с форума grabberz и fuckav. Ник говорить не буду. После анализа документов был получен отчет. Первый документ скачивал Revenge RAT, а второй – Babylon RAT. Кто не знает, что такое ратник: Это вредоносное ПО, после установки которого, злоумышленник будет иметь полный доступ к Вашему компьютеру. По сути, нашему человеку из отдела жалоб бояться нечего, у него Os X, но факт остается фактом. На сегодняшний день вредоносный ехе уже удален с сервера злоумышленника, но у нас остались сами файлы, которые были отправлены в лабораторию.
Проходит несколько дней, а на почту прилетает снова файл, но уже не офисный, а архив, в котором находится файл в формате флеш. Это уже серьезней:
Содержимое архива:
На следующий день опять прилетает файл, только уже от другой почты и с другим заголовком:
Содержимое архива:
За помощью я обратился к своему старому знакомому upO, который работает в этой сфере (защита) очень давно и понимает, что к чему, а также является опытным реверсером. У upO есть свой сервис проверки исполняемых файлов и официальная тема на форуме Exploit. Также этот человек является одним из владельцев полезного сервиса в сети (база кидал) ripper.cc. После анализа данных файлов, оказалось, что хотели заразить криптолокером и получить выкуп за файлы на компьютере, но попытка закончилась провалом. А ведь самое забавное здесь не то, что было сделано 4 попытки, а то, что с двух файлов качался локер, который находится на сервере в угадайте где? Правильно, в России! 
После этого была отправлена жалоба хостеру на данный сервер и IP злоумышленника был заблокирован. После общения с хостером стало известно, что данный товарищ решил заразить не только нас, но и других людей, но каким надо быть критином недалеким человеком, чтобы делать это через сервера в том городе, где проживаешь сам?! Сейчас все файлы были отправлены людям, которым это интересно и которые занимаются такими личностями. Ну, а товарищем-хакером заинтересовались уже правоохранительные органы. Видимо, он решил заразить не только нас, но и другие крупные проекты. Лог общения с хостером:
Подведем итоги. Не открывайте подозрительные файлы, которые получаете по почте. Позаботьтесь о собственной безопасности в интернете. А в этом вам помогут бесплатные вебинары от Vektor T13. Ближайший вебинар будет завтра. А с имеющимися записями вебинаров можно ознакомиться на нашем ютуб канале. А от вас, уважаемые хакеры, ждем новых файлов. Мы с радостью их разберем и опубликуем отчет на сайте
Всем спасибо за внимание!
12 октября, 2016
Перед написанием комментариев ознакомьтесь с правилами поведения на сайте.
Вы должны быть зарегистрированы для того, чтобы оставлять комментарии.
26 комментариев
Внимание! Сайт работает в архивном режиме. Все новые публикации и активность на нашем форуме. 
Shaxr
12 октября, 2016 в 20:52
У нас на работе, для борьбы с такого рода проблемами и вирусней на всех компах, включая сервера, стоит программа Eazy Fix (может кому то станет интересно) – конечно с ней немного надо повозиться чтобы правильно все настроить, суть в том что после настройки системы (отключение гибернации, переноса рабочего стола на другой раздел и т.д.) делается снимок системы и ставится на откат после перезагрузки, при чем все работает и в связке с криптоплатами и без всякого рода антивирусных программ. С “кривыми руками” пользователей и всякого рода проблемами решается все простой перезагрузкой ПК, для экспериментов с ПО делается множество снимков между которыми можно при перезагрузке перемещаться, – в общем интересная задумка нашего системного администратора.
kivlar29
12 октября, 2016 в 17:50
Еще раз убеждаюсь, что лучше имеиь виртуальный пк или ось не столь распространенную
kaisa
12 октября, 2016 в 19:36
да не надо параноить, атака, москва будни
IPN
12 октября, 2016 в 17:18
Смешно)
То есть вы уверены на 100%, что чувак рассылал вредонос со своего собственного сервера?
openssource
12 октября, 2016 в 17:27
Я не говорил, что он рассылал. Файлы качались с сервера. Но в этом уже не мы будем разбираться.
IPN
12 октября, 2016 в 17:37
Скорее всего это пироги и ваш подозреваемый невиновен.
openssource
12 октября, 2016 в 17:40
В этом уже разберутся другие люди. Мы скинули все файлы на анализ. Все, что могли – сделали сами.
Сергей
12 октября, 2016 в 18:00
Данный способ заразить комп стар как мир, сейчас способы более ухищрение есть, а вас просто
школьник какой то пытался ломануть, который стряпает свои говно курсы.
АНОНИМУС
12 октября, 2016 в 22:10
upO знакомы ,тогда это раскрывает все карты.
Nixand
12 октября, 2016 в 17:18
Спасибо за информацию!
mister
12 октября, 2016 в 17:21
С Вами согласна, друзья, надо быть во всём осторожным. Спасибо за предупреждение!
al129
12 октября, 2016 в 17:28
Благодарю за предупреждение.
antonspb
12 октября, 2016 в 17:32
Вряд ли антивирусы разрешат такие файлы скачать
vadimuskus
30 октября, 2016 в 10:40
Антивирусы принимают их, как родного брата. Есть вирусы-взломщики, которые встраиваются в антивирусную программу, как обновление.
AkycTuk
12 октября, 2016 в 17:45
файлы то с виду просто exel, либо word. Никогда не подумал бы, что их открытие может навредить
Andymyon
12 октября, 2016 в 18:31
Даже обычная картинка может навредить.
silverkost44
12 октября, 2016 в 19:24
Интересная инфа,спасибо за публикацию =)
Ruslan108
12 октября, 2016 в 20:06
Спасибо за полезную информацию!!!
najdimenya
12 октября, 2016 в 23:41
Да, что правда то правда, сейчас в интернете многие крупные сайты и проэкты подвергаются атакам, причём атаку на openssource нельзя назвать серьёзной, но в любом случае это крайне неприятно и смысла не вижу, ведь на любом крупной ресурсе (каковым и является openssource) не дурачки сидя работают и занимаются безопасностью профессионалы своего дела. В любом случае огромное thanks за подробный разбор атаки и о предупреждении. Удачи вам в дальнейшем и всегда быть выше любых ваших врагов на несколько голов во всём.
Miks
13 октября, 2016 в 00:38
Величайшая глупость-подложить
,но в конечном итоге себе в штаны. Это я про хакеров. 
rednail
13 октября, 2016 в 07:19
переходите на юниксы
xatta6bl4
13 октября, 2016 в 12:28
мне кажется это просто чья то паранойя.если описаное вами верно то это просто делал тупой юнец.те кто занимается подобными вещами так глупо палится не будет.
skachok
14 октября, 2016 в 20:55
Спасибо за советы по ифобезопасности.
В остальном – хорошая рекламная статья.
avgustin
16 октября, 2016 в 22:42
Спасибо за предупреждение!
Gorceaionion
24 октября, 2016 в 01:31
Я раз браузер скачал – а установился webmoney keeper со значком браузера и никак не хотел удаляться. А качал с проверенного вроде сайта
vadimuskus
30 октября, 2016 в 10:46
Это вирус Q-iorpt-qiq.
Даже, если вам его удалось удалить, копия сохраняется на нулевом секторе жесткого диска – там, где драйвер харда (драйвер харда не удаляется после форматирования), т.е. после переустановки винды, он останется. Когда проявит себя, зависит от настроек: Через день, через месяц, а может и через годик-другой.