криптовалюта

Постов: 12 Рейтинг: 38212
1192

Как я поймал и обнаружил скрытый майнер

Развернуть
Всем привет. Вот и я решил зарегаться дабы поведать Вам одну историю которая произошла со мной на днях. Давеча сидел я вечером в одной своей любимой игре, играл и тут заметил, что игра довольно сильно местами лагает. Да ладно, видно опять не прогрузились текстуры полностью подумал я. Доиграл и уже было собирался спать, вышел из игры и через 5 минут заметил, что куллер на процессоре не сбавляет обороты. Странно, комп в простое, никаких прог использующих проц у меня нет. Как и любой другой пользователь открыл я диспетчер задач и увидел лишь нагрузку в пару процентов, но мой внутренний голос говорил мне, что-то здесь не то. Открываю аиду и вижу нагрузку на два ядра в 100%, открываю диспетчер задач, нагрузки нет, а в аиде она падает до нуля. Тут я понимаю, что словил скрытый майнер. Откуда я это понял? Когда-то интересовался этой темой, конечно не обошлось без разных форумов где видел продаванов предлагающих свои приватные сборки среди функций которых были и такие как скрытие от диспетчера задач, восстановления майнера после удаления. То есть при запуске диспетчера задач процесс майнера закрывался, а пользователь увидев, что нет никакой нагрузки, закрывал диспетчер и даже не подозревал, что после этого майнер снова начинал свою работу. И так нужно было остановить майнер и временно локализировать его пока я не вывел заразу с компа. А для этого его надо найти. Обычный диспетчер не помогает увидеть процесс майнера, процесс хакер тоже поскольку это диспетчер номер один после стандартного. Обычно создатель майнера задает ему завершение работы только при запуске стандартного диспетчера и парочки сторонних популярных. Я использую еще один диспетчер, System Explorer, отличная шутка. Запустив его я сразу глянул в аиду, нагрузка не упала, значит этот диспетчер майнер не палит. Просмотрев процессы я увидел, что комп мой грузит процесс helper.exe, бегло посмотрев в инете, что это файл винды на запуск доверенных программ, я открыл подпроцессы этого процесса и обнаружил еще один с абракадаброй в названии и расширением .tmp, то есть временный файл, немного удивил тот факт, что именно он грузил проц когда я открыл всю ветку. После его убийства я не удивился, что создался и запустился другой tmp-шник и тут же дал нагрузку на проц. Открыв папку с файлом helper я увидел пустоту, быстро сообразив, что раз скрытые папки и файлы включены, а файла я не вижу, значит у него атрибут системного. Быстренько создав батник и прописав в нем attrib -s -h до пути файла я его наконец увидел, затем убил процесс и тут же удалил, куллер потихоньку начал снижать обороты, нагрузка упала, далее пришлось возиться со скриптами в AVZ и на всякий случай просканить комп одноразовым сканировщиком. Удаляя этот файл я мельком увидел, что дата его изменения две недели назад, а винда стоит давно, вероятно он был подставлен вместо оригинально хелпера винды или просто так назывался дабы не вызвать подозрений. Надеюсь я снес все, но с тех пор веду круглосуточный мониторинг и все тихо. Кто-то скажет "надо вовремя обновлять базы данных антивируса", но не забывайте, что многие антивирусы не распознают простенький майнер как вирус, так как он не вредит компьютеру, а лишь заимствует его ресурсы для своих нужд. А если это еще и грамотно сделанный майнер и хорошо закриптованный, то антивирусы не спалят его вообще в ближайшие 2-3 недели начиная с момента сборки. Видеокарту майнер не задел, видно майнил только на проце. На этом все, берегите свое железо от недобросовестных майнеров.
4016

Чаевые менеджера по продажам

Развернуть
Чаевые менеджера по продажам
Смотрели сегодня ноуты в Техномаркете. Обратили внимание на очень горячую клавиатуру. В процессах:
Чаевые менеджера по продажам
3623

Началось

Развернуть
Началось
2215

Мошенники Глобал Инвест. Теперь и на криптовалюте

Развернуть
Сижу вчера вечером за компьютером, никого не трогаю, как раздается телефонный звонок. На дисплее высвечивается номер +74950985025. О, привет, Москва! Truecaller определил номер как "Spam". Беру трубку, на том конце какой-то парень с украинским или беларусским акцентом представляется (уже не помню как имя), компания "Глобал-Инвест".

Сразу вспомнилось как в прошлом году они же мне звонили с предложением заработка на бинарных опционах. Основной посыл был "дайте нам денег и будете зарабатывать ничего не делая". На резонный вопрос чего сами так не зарабатывают, а звонят всем подряд, ответили, что сами и так уже все почти миллионеры и обзванивают, чтобы больше людей об этом узнали. Пару раз даже проделывали трюк то ли из "Бойлерной", то ли из "Волк с Уолл стрит" - акцентировали внимание на шуме в трубке, типа из торгового зала звонят и там идет жаркая торговля этими самыми опционами. Только связь была тогда очень хорошая и отчетливо было слышно, что это обычный колл-центр в котором работают не меньше двух десятков таких вот обзвонщиков с минимальной изоляцией друг от друга и на самом дешевом оборудовании без фильтра шумов. Т.к. я сам в прошлом занимался активными продажами, то было любопытно посмотреть, как этих менеджеров готовят к звонкам. В итоге прокатил их по таким возражениям, что вскоре с той стороны парень сменился на девушку-руководителя и разговор длился более часа. Подготовка у них, могу сказать, серьезная. Простым "не интересно" не отделаться, будут продолжать разговор до последнего. Не знаю, таких шустрых сразу берут или подготовлен четкий скрипт с максимальным количеством вариантов возражений, но держались стойко и почти на все могли парировать.

И вот профессиональное любопытство снова взяло вверх. В этот раз разговор начался с вопроса знаю ли я, что такое криптовалюты. Заявили, что у них собственная криптовалюта, у которой уже 100000 пользователей, единица стоит $5, а скоро выходят на биржу и цена поднимется до $30. Всю информацию можно найти на их сайте (да я таких сайтов сам могу наклепать сколько угодно, а к ним еще и форумы с положительными отзывами). Предложение было купить. Не майнить самому, не вложиться в их облачный майнинг, а именно купить. Учитывая техническую неграмотность населения и случайность аудитории в их списках, имхо, но было бы проще заявить, что у них облачный майнинг и завлекать лохов туда, чем предлагать купить какую-то неизвестную хуету, взявшуюся неизвестно откуда и зачем. К сожалению, в этот раз связь была отвратительной. Так и не получилось расспросить поподробнее, чем они ее обеспечивают, сколько в обороте, кто и как добывает и прочие умности.

Подробнее о том, что такое Глобал Инвест можно легко найти в гугле. Если кратко, то контора берет деньги и якобы пускает их в оборот на бирже на покупку акций, опционов, криптовалюты и прочего, обещая вкладчику несметные богатства. А по факту о какой-то там бирже и торговле на ней они знают только из собственных методичек. Естественно, люди ничего не получают, ни прибыли, ни собственного вклада.

Вот тут рассказывается как руководители этой конторы Агабекян и Степанов еще в 2015 году получили 10 и 11 лет колонии общего режима за мошенничество в особокрупном размере.
https://pravo.ru/news/view/118313/

А вот скрин с сайта Хамовнического районного суда Москвы https://hamovnichesky--msk.sudrf.ru/
Мошенники Глобал Инвест. Теперь и на криптовалюте
Если почитать дела, то можно обнаружить, что многие вкладчики не просто дают им денег, а компания постоянно уговаривает их продлить договор под предлогом повышения итогового процента прибыли. Некоторые даже при продлении вкидывают туда еще денег.

Вот так, руководство в колонии, а денежки капают. Конторку прикрывать почему-то никто не спешит, хотя деятельность явно мошенническая.

Прошу поднять пост в ТОП, дабы больше пикабушников это увидели и слали таких звонящих далеко и надолго. А может и найдется тот, кто отправит их к их же руководству.
Коммент для минусов добросовестно оставляю.
3244

Не показывай его никому, купи сейф...

Развернуть
... и на последнем развороте курс акций Nvidia и цены на видеокарты
Не показывай его никому, купи сейф...
4235

Когда решил стать майнером

Развернуть
Когда решил стать майнером
5442

Скоро на Авито

Развернуть
Скоро на Авито
4282

Ставка на всё!

Развернуть
Ставка на всё!
6168

Вспоминаю каждый раз, когда речь заходит о "сроках жизни" биткоинов

Развернуть
Вспоминаю каждый раз, когда речь заходит о
Эту историю я впервые услышал на уроке экономики в школе. Думаю, будет актуально ещё много лет
1681

Когда у жены сгорела видяха, и ты полез смотреть цены на новые...

Развернуть
Когда у жены сгорела видяха, и ты полез смотреть цены на новые...
553

Пока WannaCry запугивает пользователей с не обновленной системой, Adylkuzz незаметно пользуется уязвимостью.

Развернуть
За громкой атакой вируса WannaCry, который использовал уязвимости Windows, чтобы внедряться в компьютеры, шифровать файлы и требовать от пользователей выкуп в биткоинах, почти незамеченной прошла другая напасть. Малозаметная программа внедрена через уязвимость того же типа в сотни тысяч машин по всему миру и потихоньку делает деньги для своих создателей. За счёт ваших мощностей и трафика.
Пока WannaCry запугивает пользователей с не обновленной системой, Adylkuzz незаметно пользуется уязвимостью.
О программе Adylkuzz, которая без лишнего шума внедряется в компьютеры по всему миру, используя уязвимости Windows, пишет Mashable, ссылаясь на специалистов компании Proofpoint. Если вирус WanaCrypt0r, известный также под именем WannaCry, наделал много шума, блокировав работу десятков и, возможно, даже сотен тысяч компьютеров в 150 странах, в том числе банкоматов, серверов в больницах, полиции, компаниях связи и транспорта, то Adykluzz действует по-другому. Он никак не даёт знать о себе, если не следить за нагрузкой процессора или видеокарты, потому что не требует выкуп и не наносит вреда файлам, а просто понемногу «майнит» криптовалюту Monero, а затем отправляет её на адреса, связанные с возможными авторами вируса. Специалисты из Proofpoint обнаружили несколько таких адресов, которые агрегируют Monero на разные суммы от 7 до 22 тысяч долларов. Один Monero стоит сейчас около 25 долларов.

По оценкам Proofpoint, заражены уже сотни тысяч компьютеров с устаревшими версиями Windows, на которых отключены обновления, и с пиратскими копиями, причём пользователи по большей части ничего не знают о своих проблемах. Атака Adylkuzz началась за несколько недель до атаки WannaCry. Создатели Adykluzz использовали те же самые хакерские разработки из Агентства национальной безопасности США, утёкшие в сеть, что и авторы WannaCry. Но в отличие от последних, почти ничего не заработавших на своей атаке, могут получить существенную прибыль.
1561

Баянные новости

Развернуть
Баянные новости