Украли BTC

[scopus]

Так ни кто мне не ответил: 

 

13.11.2020 в 20:07, scopus сказал:

Гуру подскажите мне тогда пожалуйста, а что значит 

12.11.2020 в 11:49, jam72 сказал:

красивый адрес 1Currency33U1zLNpmcFeufETDa8NhnPyB,

 

 

В чем его несусветная красота, что я его должен был черте где генерить?

Edited 14 Nov 2020, 17:23 by scopus

[Helber]

4 минуты назад, scopus сказал:

В чем его несусветная красота, что я его должен был черте где генерить?

Currency это вроде «валюта» на инглише

Cryptocurrency - уже криптовалюта.

[scopus]

@Helber  спасибо, понял, что это полная ерунда..

[Victor Menshov]

13.11.2020 в 19:04, sankopolo сказал:

@Victor Menshov Как определили, что комп был заражен?

Сколько времени прошло от последнего включения в сеть зараженного компа до транзакции?

А от последнего ввода этого пароля на этом компе?

Нашел на компе зараженный процесс, по нему нашел файл с трояном, время создания совпадало с временем, когда я вводил пароль от wallet.dat. Прошло примерно 5 дней, пароль вводил как раз в последний день, когда включал комп перед уводом битков.

8 часов назад, Dum сказал:

10 битков как то заимел , но купить леджер за пятерку ума не хватило ...мда 

Ну я их приобретал по средней цене 400$. Ума не хватило на другое, не запускать ненадежные проги и не вводить пароль от валлета без надобности.

[sankopolo]

@Victor Menshov Правильно ли я понял, что в день Х вы включали компьютер, вводили пароль и пользовались сетью, а в день Х+5 появилась транзакция, крадущая монеты?

[Victor Menshov]

Только что, sankopolo сказал:

@Victor Menshov Правильно ли я понял, что в день Х вы включали компьютер, вводили пароль и пользовались сетью, а в день Х+5 появилась транзакция, крадущая монеты?

Да, все так и было.

[sankopolo]

@Victor Menshov Тогда генерация красивых адресов, про которую писали выше, здесь ни при чем. Действительно просто wallet.dat+пароль+троян.

И можно сказать, что сделавший это - не профессионал:

1. Бессмысленная большая задержка 5 дней
2. Использование засвеченного адреса
3. Выставленный флаг RBF (jam72 выше писал)

 

[Victor Menshov]

5 часов назад, kamikadze69 сказал:

И был ли вообще троян, его следы на компьютере обнаружены после кражи биткоинов?

троян был, прикрепляю архив с ним, пароль 123

notepad.rar

[kamikadze69]

18 минут назад, Victor Menshov сказал:

Ума не хватило на другое, не запускать ненадежные проги

Что за проги? Где трояна поймали расскажите.

[Victor Menshov]

6 минут назад, kamikadze69 сказал:

Что за проги? Где трояна поймали расскажите.

Не помню какие конкретно, тестировал проги для подбора пароля к wallet.dat, но по глупости на своем же и тестировал, вместо того, чтобы пустой создать. Хотя на virustotal эту прогу проверял, была чистая, возможно троян был не в ней, а в каких-то майнерах эфира, их тоже запускал перед этим.

Точно знаю, что с сайта, где засвечен адрес, куда перевели мои btc, ничего не качал.

Edited 14 Nov 2020, 18:03 by Victor Menshov

[Lenchik]

4 минуты назад, sankopolo сказал:

Бессмысленная большая задержка 5 дней

Это может быть связано с технологией получения пароля. Троян рассылался на много компьютеров. На сотни, возможно тысячи. Данные пересылались явно не на домашний комп хакера с белым IP. То есть где то в сети, у папуасов, существует сервер. На этот сервер троян отсылает данные. Хакер периодически забирает эти данные. Причём не напрямую, а пользуясь цепочкой анонимайзеров. После этого данные нужно отфильтровать, найти интересное и использовать. Вот вам и 5 дней.

Хакер явно опытный, если невозможно отследить куда троян отправляет данные. Он скорее всего плохо разбирается в криптовалютных кошельках.

[Victor Menshov]

@Lenchik Один человек исследовал этот троян и сказал вот что:

Троян RemCos, что-то качает с imgur.com (видимо, обновление).
Управляющий компьютер находится по адресу 176.123.9.138, порт 5855
По этому адресу находится система на базе Windows, предназначенная для управления зараженными компами.

[kamikadze69]

Антивирус был? Если да, то какой?

[moneymaker]

5 часов назад, kamikadze69 сказал:

не 100бтк ждать?
Да и любой антивирус, даже встроенный в винду, его при очередном обновлении баз опознает и обезвредит, если долго ждать, время играет против вируса.

Да что-то точно на форуме подобное встречалось, что вирус ждал суммы. Есть же шифрующие упаковщики, пока не спалится конкретный экземпляр, в базы не попадёт.

[Lenchik]

11 минут назад, Victor Menshov сказал:

Управляющий компьютер находится по адресу 176.123.9.138,

У меня показывает что это Молдова, Кишинёв.

[Victor Menshov]

5 минут назад, kamikadze69 сказал:

Антивирус был? Если да, то какой?

Нет, отключал.

 

1 минуту назад, moneymaker сказал:

Да что-то точно на форуме подобное встречалось, что вирус ждал суммы. Есть же шифрующие упаковщики, пока не спалится конкретный экземпляр, в базы не попадёт.

В моем случае вирус жил на компе максимум полдня, до момента последнего перед инцидентом выключения.

[moneymaker]

5 часов назад, Helber сказал:

@moneymaker , почему же? Там эти 10 битков лежали с 2018 года вроде.

Согласен!
Не туда посмотрел с телефона, действительно странная ситуация. Гипотеза с триггером накопления не проходит.

[Lenchik]

По адресу 176.123.9.138 сервер какой то организации. Его взломали и использовали для сбора информации от трояна. Логи наверняка подчищены. У провайдера интернета можно запросить логи и попытаться выяснить откуда рулили сервером дистанционно. Простым смертным эту информацию не выдадут. 

[moneymaker]

@Lenchik в Молдову идут следы, кто там будет логи смотреть..

[Lenchik]

13 минут назад, moneymaker сказал:

 в Молдову идут следы, кто там будет логи смотреть..

Молдова не Колумбия. Если компетентные органы начнут копать, то всё найдут. 

[moneymaker]

10 минут назад, Lenchik сказал:

Молдова не Колумбия. Если компетентные органы начнут копать, то всё найдут. 

Найдут vps оформленный на отрисованый KYC, на этом все и закончится. Вероятнее всего закончится на этапе подачи заявления в органы, где за зарплату писать запросы в иностранное государство не мотивировали.

[razniza]

Выпить стаканчик с горя и забыть об ошибке (от переживаний только нервы дополнительно испортятся).

[Lenchik]

1 час назад, moneymaker сказал:

Найдут vps оформленный на отрисованый KYC, на этом все и закончится.

Выше я предлагал человека искать, а не монеты. Если найти человека, то добыть из него монеты уже дело техники. В крайнем случае ректотермальным способом.

[mass]

13.11.2020 в 21:39, supreme1 сказал:

 

 

Биткоин коре очень опасный кошелек. Так как любой троян с кейлогером копируют wallet.dat и пасс.

lol!

Прям поЩёл ловить  трояны с кейлогерами.

Пэ.Сэ- прям Заскринил!

п.п.с Вот по какой причине у двуногих напрочь отсутствует причина-следствие? (Не расценивать как оскАрбление/и_прочии, это константа факта)

12 часов назад, Djo сказал:

Покупайте ТrezoR, гайс?

 

13.11.2020 в 21:39, supreme1 сказал:

Кроилово ведет у попадалову

Зажал 60$ на леджер, потерял 160 тысяч $

ну да, ну да!

В принципе не существует более безопасного кошелька битка чем Bitcoin Core. И если руки не оттуда(да и голова, вернее, то, что по ошибке многие считают головой) не там, то не нужно винить,.

ТС, без обид, но держать 10btc на компе под вируснёй, да с таким адресом, ну хз, видимо яйца Мегатитановые!

[fujc]

Какие 10 битков, что вы такие наивные, чувак замутил всю эту тему, чтобы впарить всем желающим троян, который он здесь и прикрепил. После этого еще ведется серьезное обсуждение, мда...