Попробуйте ввести данные из платежа. Введите число-вопрос, номер кошелька получателя или сумму транзакции - Финансы

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Spowen · 2020-07-28T15:09:42.0000000Z

Я к сожалению также, как и многие люди в последнее время ( Аналогичный топик , ещё топик ) попал под раздачу, а точнее - наоборот. В общем, очень неприятнейшая ситуация, как и у многих людей, пострадавших от злостного трояна (с большой долей вероятности - это вот эта хренотень ). Рассказываю свою историю как было дело: В пятницу вечером как обычно просматривал на Торрентах (Rutracker.org) новинки. Решил поставить на закачку несколько видео. В это время как обычно трепался в аське с другом. Для справки: на машине стоит NOD32, Outpost Firewall, Spyware Doctor - все с последними базами и постоянными обновлениями. Ничего не подозревающий я дальше просматривал скрины из файлов, которые предлагались для скачивания на торрентах. Все бы хорошо, но вдруг ни с того ни с сего выскакивает окошко: "Ошибка vlioey.exe" - типа как что-то запустилось и неудачно, или просто отрыгнулось, но факт я запомнил - ещё сразу загуглил и пошутил с другом в аське, что подхватил виря. NOD, Outpost и Spyware Doctor МОЛЧАЛИ. В гугле - 0 результатов по данному файлу или процессу. Эта ошибка выпала при заходе на сервис картинок Fastpic.ru. Данный ресурс недавно примкнул к Torretns.ru как новый сервис по хранению картинок. Посещалка очень большая. Но сейчас мы двигаемся дальше по хронологии моих событий... Далее я естественно заподозрил неладное, перезагрузил машину и просканировался полностью. Никто ничего не нашел, все 3 проги. (в аутпосте тоже есть функция сканирования на Spyware). Двигаемся дальше - никаких подозрительных активностей, никаких фактов того, что это действительно был вирус... Все это заставило меня спокойно продолжить работать на машине. Webmoney Keeper запускал, оплачивал счета - все было хорошо. После того, как поработал в программе, успешно закрыл ее и отправился спать. На выходных машина обычно используется в роли мультимедийного центра, по этому назначению и использовалась, инет был активен. Никаких подозрений не было и тогда. В воскресенье вечером опять начал работать, включаю кипер - и вот тут-то у меня добавилось седых волос. "Серьёзная ошибка при выполнении команды". Потом и второе окошко "Некорректный идентификатор или пароль" . Ну думаю, всякое бывает, наверное глюк. Перепробовал миллиард и один вариант, опять добавил себе седых волос, подставил файл ключей и пароль к нему - все срабатывает, но окно все равно не исчезает. Пошел гуглить... и нагуглил естественно темки у меня взломали Webmoney , взломали Webmoney и ещё много другого (можно ввести в поисковик по ключам). Прочитав понял, что вполне возможно это троян, ссылку на который я давал выше. Но стучать человеку, продающему его я ещё не пробовал, думаю бесполезно. Но это ещё далеко не конец истории. Я огорчился и на фоне огорчения стал думать о дальнейшей безопасности. Потому как пока я не знаю деньги ушли из кошельков или нет - в саппорте Webmoney на этот вопрос не отвечают, а арбитраж очень много дней в неделю отдыхает, включая 8 марта. Насчет самой системы - отдельный разговор. Неужели нельзя сделать саппорт 24/7 и дать все полномочия саппорту именно по подобным вопросам. И собственно забросило меня на Rutracker.org - стал я смотреть на дистрибутивы Линукса, на их красоту и неприступность и фантазировать о том, как же безопасно мне будет работать на линуксе. И что вы думаете? В это самое время, когда я смотрел очередной скриншот, опять же с сайта Fastpic.ru - ещё одно "чудо" пыталось пробраться, на этот раз NOD отбил угрозу, но аналогично была ошибка открытия какого-то экзешника, сейчас напишу даже какого, но думаю даже имя экзешника генерируется по случайности - этим обьясняется молчание гугла по этому поводу. Нет, к сожалению имя файла у меня не сохранилось, зато сохранилась прямая ссылка, по которой я получил "в лоб": http://fastpic.ru/view/3/2009/1023/532c655b7bfc306c3822f0acdcf014ed.png.html - надеюсь ходить туда Вы не будете без соответствующего образования/обмундирования и аммуниции ибо на данный момент я уверен эта ссылка представляет опасность до сих пор. Я бы вообще запретил в фаерволе этот хост - fastpic.ru. Это не антиреклама для него, это истина, которую мы ещё обязательно обсудим. Смысл из всего, что связано с этим сайтом следующий: Либо специально, либо случайно, либо ещё как (взломали сайт например) на этом сайте висит какой-то "волшебный" поп-ап или поп-андер, или его разновидность. Люди зарабатывают на рекламе партнерками, которые не всегда белые. Чаще всего - серые или черные. И крутиться в этих партнерках может хоть сам дьявол. Смысл улавливаете? Я отпишу людям из Fastpic.ru и наверное дам ссылку на эту тему. Сегодня в нашем жестоком мире нельзя верить никому, поэтому я не могу быть уверен в том, что это случайность, или "темная" партнерка, используемая на сайте. Вполне возможно, что сами владельцы занимаются подобной хренью. Но это естественно, предположение. На данный момент я хочу, чтобы те, кто пострадал таким же образом обьединили свои усилия и информацию, которую мы имеем воедино. Буду рад, если кто-то также проявит инициативу и предложит что делать дальше. На данный момент мои действия и советы тем, кто попался на это: Если попытаться словить за яйца (очень хочется!) обидчиков, то сейчас стоит задача: выяснить откуда ноги растут. Поэтому как минимум нужно пообщаться с представителями Fastpic.ru. Одновременно с этим писать в саппорт Webmoney и арбитраж. Мой идентификатор заблокировали, но обычный саппорт вообще практически не имеет полномочий. Любому, кто наткнется на подобную ошибку - сразу писать в саппорт чтобы блокировали кошельки на вывод средств. Кроме всего прочего: идентифицировать, что "что-то не в порядке" можно так: Идем в C:/program files/Webmoney/ и ищем такой файлик: inetmib1.dll . Если он находится в директории с Webmoney - это и есть часть трояна. Касперский уже определяет его, как сказали из его техподдержки. Он определяется как: inetmib1.dll - Trojan-Spy.Win32.Wemon.cv На данный момент неизвестно какое количество людей пострадало, но думаю довольно приличное. Здесь просьба отписываться тех, кто пострадал и главное: какие меры уже предпринял, какие результаты. Как правило деньги уводятся в выходные, конвертируются в ближайшем электронном обменнике, переводятся на Яндекс-Деньги и выводятся, либо на них покупаются товары в инет магазинах. В общем, неисповедимы их пути... На сегодня я практически ничего не смог сделать, кроме шерсти интернета, подобных тем и колебания воздуха. Вебманевский саппорт отвечает примерно раз в 2.5 часа. Толку от него только в блокировании кошельков, остальное не в его компетенции, а в компетенции арбитража, как он сам обьясняет. Зарегистрировал новый WMID вчера ночью. Сегодня зайти в него уже не получается. Интересное дело - прога просто закрывается сразу как только заходит в онлайн. Поставил самую новую версию - тоже самое. Видимо я ещё не полностью почистился от этой нечисти. Благодарю всех за внимание и надеюсь это будет полезно всем. Если где-то Вы хотите меня поправить или дополнить - милости прошу. Ещё есть очень большая пища для размышлений: вот такая вот статейка из журнала хакер . Была написана давно, но я думаю в ней очень многое ещё актуально.

_

381

_SP_

13 апреля 2010, 10:49

#981

А вы почитайте, почерпнете много интересного)
В том числе о то, что предлагаемый вами метод-мягко говоря, не фонтан, и к тому же не 100% гарант от кражи)

За первые 20 страниц увы ничего интересного.

Есть реальные предложения 100% гаранта в текущей ситуации. С удовольствием выслушаю.

Попробуйте кипер-лайт + енум авторизация. Там есть все, что Вы указали.

При енум авторизации код как-то генерируется на основании информации о транзакции ?

Мне казалось что любой код подойдет для любого перевода.

Пароли, внешние шифрблокноты итп всё это НЕ помогает от руткитов.

Будут подменять реальные транзакции на левые только и всего.

Нужна гарантированно чистая система. Как ее получить вопрос хороший.

Пока я вижу только возможность загрузившись с CD в режиме "без прав".

_SP_ добавил 13.04.2010 в 14:50

ЗЫ. Ноутбук не решение совсем... увы.

104

_vb_

13 апреля 2010, 10:58

#982

_SP_:

При енум авторизации код как-то генерируется на основании информации о транзакции ?

Да. Там два режима - один для входа в кипер. Второй для подтверждения транзакции. Во втором случае в приложение на телефоне для получения кода подтверждения вводится: число-вопрос, номер кошелька получателя, сумма транзакции. Есть данные, что и дата/время запроса тоже участвует.

_SP_:
Ноутбук не решение совсем... увы.

Угу, но народ тут почему-то иначе считает.

Саратовская фракция серча (). Давайте посчитаемся.

_

381

_SP_

13 апреля 2010, 11:44

#983

Во втором случае в приложение на телефоне для получения кода подтверждения вводится: число-вопрос, номер кошелька получателя, сумма транзакции.

Это должно помочь... даже на усмерть затрояненом компе. (разумеется если телефон "свободен")

Хмм... пойду читать про енум итп, спасибо. Сходу минусов не видать, кроме того, что придется всё это набивать (что гемор).

104

_vb_

13 апреля 2010, 11:52

#984

_SP_:

Хмм... пойду читать про енум итп, спасибо.

Да пожалуйста. Кстати, этот совет я написал ТС на первой странице данного топика :)

_

381

_SP_

13 апреля 2010, 11:53

#985

Чей-то http://www.enum.ru/enum_wm.aspx

про подтверждение транзакций с "наворотами" нету нифига.

Куда рыть не подскажите ?

_SP_ добавил 13.04.2010 в 15:53

ЗЫ. Простой енум (вопрос-ответ) увы ничего не решает :(

_SP_ добавил 13.04.2010 в 16:02

ЗЫЫ. Всегда думал что енум - это шифрблокнот. А это не так ?

Т.е. там внутри алгоритм реально вычисляющий что-то динамически ?

(иначе как учесть номера кошельков итп)

104

_vb_

13 апреля 2010, 12:03

#986

_SP_:
Чей-то http://www.enum.ru/enum_wm.aspx
про подтверждение транзакций с "наворотами" нету нифига.
Куда рыть не подскажите ?

Про классик не скажу - не пользую я его. Речь шла о кипер-лайт. Там в настройках аккаунта кипер-лайта галку нужно поставить на "Подтверждать выполнение операций " на вкладке "Безопасность".

А в настройках енум аккаунта неплохо галочку поставить на "Оповещать на основной мейл о неудачных авторизациях".

_vb_ добавил 13.04.2010 в 16:07

_SP_:

ЗЫЫ. Всегда думал что енум - это шифрблокнот. А это не так ?

Енум - это отдельный веб-сервис авторизации. Вы можете его на свой сайт прикрутить при желании и возможности.

_SP_:

Т.е. там внутри алгоритм реально вычисляющий что-то динамически ?
(иначе как учесть номера кошельков итп)

Да, при регистрации Вам генерится j2me/WinMobile апплет для мобилы, завязанный на хеш мейла, указанного при регистрации. Т.е. даже если мобилу с этим апплетом у Вас сопрут, им нужно будет знать мейл, на который Вы регистрились в енум.

_

381

_SP_

13 апреля 2010, 12:22

#987

Енум - это отдельный веб-сервис авторизации. Вы можете его на свой сайт прикрутить при желании и возможности.

Это понятно, непонятно как получаются пары значений.

В нормальных системах они генерируются один раз и на всю жизнь от качественного датчика случайных чисел. И учитывать в них кошелек для назначения платежа в момент совершения транзакции невозможно.

К сожалению сайт енум-а не блещет инфой. Но судя по вашему сообщению там нечто с хешем используется, т.е. чисто теоретически можно зная предыдущие пары предсказать следующие.

Это плохо.

Но если это работает так как вами написано (для получения ответа надо ввести данные из платежа), то, вероятно это довольно удачный компромисс.

_SP_ добавил 13.04.2010 в 16:26

ЗЫ. Пример шифр-блокнота держу в руках. Вводить вообще ничего не надо. Раз в минуту он

показывает с десяток символов. Надо ввести свой логин + эти 10 символов + пин.

И всё. При серьезной рассинхронизации сервер просит ввести по 2-3 "следующих" значений.

Органы управления отсутствуют. Алгоритмы отсутствуют. Цифирки просто вшиты в устройсто

и их там лет на 20 хватит. Но это железобетонная однократная авторизация. В случае, если

вы работаете на скоспрометированной системе вам это не поможет. Вебманям нужна другая.

104

_vb_

13 апреля 2010, 12:27

#988

_SP_:
чисто теоретически можно зная предыдущие пары предсказать следующие.

Чисто теоретически наверное можно. Но я старался отслеживать этот и подобные топики тут + на вебманевом форуме. Случаев увода денег при работе по схеме лайт+енум пока не зафиксировал.

_

381

_SP_

13 апреля 2010, 12:34

#989

Чисто теоретически наверное можно. Но я старался отслеживать этот и подобные топики тут + на вебманевом форуме. Случаев увода денег при работе по схеме лайт+енум пока не зафикировал.

Про алгоритм четко пролейте свет пожалуйста:

При вашей схеме вы на удаленном устройстве вводите некий код, номер кошелька, сумму и получаете код активации для ввода киперу ? При этом этот код (естественно) не подойдет

для ДРУГОЙ суммы или ДРУГОГО кошелька с назначением платежа ? Я все верно понял ?

Принципиально именно это: код подтверждения генерируется с учетом суммы платежа и

кошелька получателя.

ЗЫ. Я чего переспрашиваю - первый раз о таком слышу... а хотел бы.

Mastercard запустила в России Яндекс.Деньги вводят новый способ В Украине стал возможен

ZR

51

zahosti.ru

13 апреля 2010, 12:39

#990

_vb_:
Чисто теоретически наверное можно. Но я старался отслеживать этот и подобные топики тут + на вебманевом форуме. Случаев увода денег при работе по схеме лайт+енум пока не зафиксировал.

Там скорее всего время участвует при создании ответа, поэтому угадывать бесполезно.

zahosti.ru добавил 13.04.2010 в 16:39

_SP_:
Про алгоритм четко пролейте свет пожалуйста:

При вашей схеме вы на удаленном устройстве вводите некий код, номер кошелька, сумму и получаете код активации для ввода киперу ? При этом этот код (естественно) не подойдет
для ДРУГОЙ суммы или ДРУГОГО кошелька с назначением платежа ? Я все верно понял ?
Принципиально именно это: код подтверждения генерируется с учетом суммы платежа и
кошелька получателя.

ЗЫ. Я чего переспрашиваю - первый раз о таком слышу... а хотел бы.

Да. именно так.

zahosti.ru (http://www.zahosti.ru) - надежный дешевый хостинг

Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы

В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?