Здравствуйте.
Не секрет, что у нашего проекта много недоброжелателей, которые пытаются помешать нам работать. Несколько месяцев назад мы писали статью про то, как нашли одного начинающего хак человека, который пытался подсунуть одному из наших сотрудников вредоносное ПО. После открытия сервиса EliteService.Me, количество недовольных увеличилось в несколько раз, а после размещения баннеров некоторых сервисов, количество хейтеров просто зашкаливало. Мы привыкли выслушивать угрозы, наблюдать различные попытки вывести нас из строя. Мотивы атакующих непонятны, разве что – это зависть, обидочка, злость из-за того, что мы развиваемся настолько быстро, что трудно представить. Около недели назад мы легли под мощной DDoS-атакой. Атаковали сайт и форум одновременно, но так как все находится на одном сервере – не работало ничего. Подобной мощности атаки были в прошлом году, когда у нас был простой больше суток. На текущий момент у нас на обслуживании находится большой коммерческий проект, владелец которого потерпел большие убытки от простоя. Именно он оплатил расследование DDoS-атаки одной компании, которая занимается этими делами. Но на DDoS-атаке дело не закончилось. Ребята решили, что они намного умнее нас и пошли дальше. Об этом мы сейчас и расскажем. Поехали!
Через время, как мы отбили атаку, на почту отдела жалоб пришел документ:
Наш человек не обратил внимание, так как это было похоже на обычный спам. Сейчас поясню для всех, кто не знает, что содержат такие “документы”. Как только вы открываете документ на ПК, к Вам закачивается вредоносное ПО злоумышленника. В основном, это криптолокеры. На этот документ никто бы не обратил внимание, если бы буквально на следующий день человек не получил снова такое письмо, но уже не в формате Excel, а в формате MS Word. Причем для убедительности письмо было отправлено в отдел жалоб с несуществующего почтового адреса нашего сайта:
Тут стало понятно, то это целенаправленная атака на нас. Эти два файла я сразу отдал своему партнеру с форума grabberz и fuckav. Ник говорить не буду. После анализа документов был получен отчет. Первый документ скачивал Revenge RAT, а второй – Babylon RAT. Кто не знает, что такое ратник: Это вредоносное ПО, после установки которого, злоумышленник будет иметь полный доступ к Вашему компьютеру. По сути, нашему человеку из отдела жалоб бояться нечего, у него Os X, но факт остается фактом. На сегодняшний день вредоносный ехе уже удален с сервера злоумышленника, но у нас остались сами файлы, которые были отправлены в лабораторию.
Проходит несколько дней, а на почту прилетает снова файл, но уже не офисный, а архив, в котором находится файл в формате флеш. Это уже серьезней:
Содержимое архива:
На следующий день опять прилетает файл, только уже от другой почты и с другим заголовком:
Содержимое архива:
За помощью я обратился к своему старому знакомому upO, который работает в этой сфере (защита) очень давно и понимает, что к чему, а также является опытным реверсером. У upO есть свой сервис проверки исполняемых файлов и официальная тема на форуме Exploit. Также этот человек является одним из владельцев полезного сервиса в сети (база кидал) ripper.cc. После анализа данных файлов, оказалось, что хотели заразить криптолокером и получить выкуп за файлы на компьютере, но попытка закончилась провалом. А ведь самое забавное здесь не то, что было сделано 4 попытки, а то, что с двух файлов качался локер, который находится на сервере в угадайте где? Правильно, в России!
После этого была отправлена жалоба хостеру на данный сервер и IP злоумышленника был заблокирован. После общения с хостером стало известно, что данный товарищ решил заразить не только нас, но и других людей, но каким надо быть критином недалеким человеком, чтобы делать это через сервера в том городе, где проживаешь сам?! Сейчас все файлы были отправлены людям, которым это интересно и которые занимаются такими личностями. Ну, а товарищем-хакером заинтересовались уже правоохранительные органы. Видимо, он решил заразить не только нас, но и другие крупные проекты. Лог общения с хостером:
Подведем итоги. Не открывайте подозрительные файлы, которые получаете по почте. Позаботьтесь о собственной безопасности в интернете. А в этом вам помогут бесплатные вебинары от Vektor T13. Ближайший вебинар будет завтра. А с имеющимися записями вебинаров можно ознакомиться на нашем ютуб канале. А от вас, уважаемые хакеры, ждем новых файлов. Мы с радостью их разберем и опубликуем отчет на сайте
Всем спасибо за внимание!
Нравится79
Не нравится0
ОПИСАНИЕ:Психофизиолог Марьяна Безруких расскажет, какую пользу приносят гаджеты детям и насколько безопасно их использование в…
ОПИСАНИЕ:Слив курса Божество моей судьбы [Юлия Воронина]Божества – один из важнейших элементов древнего метафизического искусства…
ОПИСАНИЕ:Чему научит наш курс по ТРИЗ?ТРИЗ (теория решения изобретательских задач) – это алгоритмы и приёмы,…
ОПИСАНИЕ:Слив курса Снимай и зарабатывай на editorial-фотографии [Ольга Береславская, Вадим Закиров]Начни снимать editorial-фотографии (даже на…
ОПИСАНИЕ:Материалы курса8 разделов28 лекцийОбщая продолжительность 8 ч 56 минЧему вы научитесь:Практические домашние задания / Полноценное…
ОПИСАНИЕ:Слив курса REvolution Pack - Пак Материалов для Ютуберов, Дизайнеров и Монтажёров 2024 [All PSD]…
This website uses cookies.
View Comments
У нас на работе, для борьбы с такого рода проблемами и вирусней на всех компах, включая сервера, стоит программа Eazy Fix (может кому то станет интересно) - конечно с ней немного надо повозиться чтобы правильно все настроить, суть в том что после настройки системы (отключение гибернации, переноса рабочего стола на другой раздел и т.д.) делается снимок системы и ставится на откат после перезагрузки, при чем все работает и в связке с криптоплатами и без всякого рода антивирусных программ. С "кривыми руками" пользователей и всякого рода проблемами решается все простой перезагрузкой ПК, для экспериментов с ПО делается множество снимков между которыми можно при перезагрузке перемещаться, - в общем интересная задумка нашего системного администратора.
Еще раз убеждаюсь, что лучше имеиь виртуальный пк или ось не столь распространенную
да не надо параноить, атака, москва будни
Смешно)
То есть вы уверены на 100%, что чувак рассылал вредонос со своего собственного сервера?
Я не говорил, что он рассылал. Файлы качались с сервера. Но в этом уже не мы будем разбираться.
Скорее всего это пироги и ваш подозреваемый невиновен.
В этом уже разберутся другие люди. Мы скинули все файлы на анализ. Все, что могли - сделали сами.
Данный способ заразить комп стар как мир, сейчас способы более ухищрение есть, а вас просто
школьник какой то пытался ломануть, который стряпает свои говно курсы.
upO знакомы ,тогда это раскрывает все карты.
Спасибо за информацию!
С Вами согласна, друзья, надо быть во всём осторожным. Спасибо за предупреждение!
Благодарю за предупреждение.
Вряд ли антивирусы разрешат такие файлы скачать ;-)
Антивирусы принимают их, как родного брата. Есть вирусы-взломщики, которые встраиваются в антивирусную программу, как обновление. :twisted:
файлы то с виду просто exel, либо word. Никогда не подумал бы, что их открытие может навредить :|
Даже обычная картинка может навредить.
Интересная инфа,спасибо за публикацию =)