Попробуйте поделиться своим несчастьем - Финансы

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Spowen · 2020-07-28T15:09:42.0000000Z

Я к сожалению также, как и многие люди в последнее время ( Аналогичный топик , ещё топик ) попал под раздачу, а точнее - наоборот. В общем, очень неприятнейшая ситуация, как и у многих людей, пострадавших от злостного трояна (с большой долей вероятности - это вот эта хренотень ). Рассказываю свою историю как было дело: В пятницу вечером как обычно просматривал на Торрентах (Rutracker.org) новинки. Решил поставить на закачку несколько видео. В это время как обычно трепался в аське с другом. Для справки: на машине стоит NOD32, Outpost Firewall, Spyware Doctor - все с последними базами и постоянными обновлениями. Ничего не подозревающий я дальше просматривал скрины из файлов, которые предлагались для скачивания на торрентах. Все бы хорошо, но вдруг ни с того ни с сего выскакивает окошко: "Ошибка vlioey.exe" - типа как что-то запустилось и неудачно, или просто отрыгнулось, но факт я запомнил - ещё сразу загуглил и пошутил с другом в аське, что подхватил виря. NOD, Outpost и Spyware Doctor МОЛЧАЛИ. В гугле - 0 результатов по данному файлу или процессу. Эта ошибка выпала при заходе на сервис картинок Fastpic.ru. Данный ресурс недавно примкнул к Torretns.ru как новый сервис по хранению картинок. Посещалка очень большая. Но сейчас мы двигаемся дальше по хронологии моих событий... Далее я естественно заподозрил неладное, перезагрузил машину и просканировался полностью. Никто ничего не нашел, все 3 проги. (в аутпосте тоже есть функция сканирования на Spyware). Двигаемся дальше - никаких подозрительных активностей, никаких фактов того, что это действительно был вирус... Все это заставило меня спокойно продолжить работать на машине. Webmoney Keeper запускал, оплачивал счета - все было хорошо. После того, как поработал в программе, успешно закрыл ее и отправился спать. На выходных машина обычно используется в роли мультимедийного центра, по этому назначению и использовалась, инет был активен. Никаких подозрений не было и тогда. В воскресенье вечером опять начал работать, включаю кипер - и вот тут-то у меня добавилось седых волос. "Серьёзная ошибка при выполнении команды". Потом и второе окошко "Некорректный идентификатор или пароль" . Ну думаю, всякое бывает, наверное глюк. Перепробовал миллиард и один вариант, опять добавил себе седых волос, подставил файл ключей и пароль к нему - все срабатывает, но окно все равно не исчезает. Пошел гуглить... и нагуглил естественно темки у меня взломали Webmoney , взломали Webmoney и ещё много другого (можно ввести в поисковик по ключам). Прочитав понял, что вполне возможно это троян, ссылку на который я давал выше. Но стучать человеку, продающему его я ещё не пробовал, думаю бесполезно. Но это ещё далеко не конец истории. Я огорчился и на фоне огорчения стал думать о дальнейшей безопасности. Потому как пока я не знаю деньги ушли из кошельков или нет - в саппорте Webmoney на этот вопрос не отвечают, а арбитраж очень много дней в неделю отдыхает, включая 8 марта. Насчет самой системы - отдельный разговор. Неужели нельзя сделать саппорт 24/7 и дать все полномочия саппорту именно по подобным вопросам. И собственно забросило меня на Rutracker.org - стал я смотреть на дистрибутивы Линукса, на их красоту и неприступность и фантазировать о том, как же безопасно мне будет работать на линуксе. И что вы думаете? В это самое время, когда я смотрел очередной скриншот, опять же с сайта Fastpic.ru - ещё одно "чудо" пыталось пробраться, на этот раз NOD отбил угрозу, но аналогично была ошибка открытия какого-то экзешника, сейчас напишу даже какого, но думаю даже имя экзешника генерируется по случайности - этим обьясняется молчание гугла по этому поводу. Нет, к сожалению имя файла у меня не сохранилось, зато сохранилась прямая ссылка, по которой я получил "в лоб": http://fastpic.ru/view/3/2009/1023/532c655b7bfc306c3822f0acdcf014ed.png.html - надеюсь ходить туда Вы не будете без соответствующего образования/обмундирования и аммуниции ибо на данный момент я уверен эта ссылка представляет опасность до сих пор. Я бы вообще запретил в фаерволе этот хост - fastpic.ru. Это не антиреклама для него, это истина, которую мы ещё обязательно обсудим. Смысл из всего, что связано с этим сайтом следующий: Либо специально, либо случайно, либо ещё как (взломали сайт например) на этом сайте висит какой-то "волшебный" поп-ап или поп-андер, или его разновидность. Люди зарабатывают на рекламе партнерками, которые не всегда белые. Чаще всего - серые или черные. И крутиться в этих партнерках может хоть сам дьявол. Смысл улавливаете? Я отпишу людям из Fastpic.ru и наверное дам ссылку на эту тему. Сегодня в нашем жестоком мире нельзя верить никому, поэтому я не могу быть уверен в том, что это случайность, или "темная" партнерка, используемая на сайте. Вполне возможно, что сами владельцы занимаются подобной хренью. Но это естественно, предположение. На данный момент я хочу, чтобы те, кто пострадал таким же образом обьединили свои усилия и информацию, которую мы имеем воедино. Буду рад, если кто-то также проявит инициативу и предложит что делать дальше. На данный момент мои действия и советы тем, кто попался на это: Если попытаться словить за яйца (очень хочется!) обидчиков, то сейчас стоит задача: выяснить откуда ноги растут. Поэтому как минимум нужно пообщаться с представителями Fastpic.ru. Одновременно с этим писать в саппорт Webmoney и арбитраж. Мой идентификатор заблокировали, но обычный саппорт вообще практически не имеет полномочий. Любому, кто наткнется на подобную ошибку - сразу писать в саппорт чтобы блокировали кошельки на вывод средств. Кроме всего прочего: идентифицировать, что "что-то не в порядке" можно так: Идем в C:/program files/Webmoney/ и ищем такой файлик: inetmib1.dll . Если он находится в директории с Webmoney - это и есть часть трояна. Касперский уже определяет его, как сказали из его техподдержки. Он определяется как: inetmib1.dll - Trojan-Spy.Win32.Wemon.cv На данный момент неизвестно какое количество людей пострадало, но думаю довольно приличное. Здесь просьба отписываться тех, кто пострадал и главное: какие меры уже предпринял, какие результаты. Как правило деньги уводятся в выходные, конвертируются в ближайшем электронном обменнике, переводятся на Яндекс-Деньги и выводятся, либо на них покупаются товары в инет магазинах. В общем, неисповедимы их пути... На сегодня я практически ничего не смог сделать, кроме шерсти интернета, подобных тем и колебания воздуха. Вебманевский саппорт отвечает примерно раз в 2.5 часа. Толку от него только в блокировании кошельков, остальное не в его компетенции, а в компетенции арбитража, как он сам обьясняет. Зарегистрировал новый WMID вчера ночью. Сегодня зайти в него уже не получается. Интересное дело - прога просто закрывается сразу как только заходит в онлайн. Поставил самую новую версию - тоже самое. Видимо я ещё не полностью почистился от этой нечисти. Благодарю всех за внимание и надеюсь это будет полезно всем. Если где-то Вы хотите меня поправить или дополнить - милости прошу. Ещё есть очень большая пища для размышлений: вот такая вот статейка из журнала хакер . Была написана давно, но я думаю в ней очень многое ещё актуально.

[Удален]

19 марта 2010, 03:52

#381

На школософте ктото выставил на продожу этот троянчик за 100$, там и icq есть, можете пообщаться

615

Vladimir

19 марта 2010, 03:54

#382

MyTraf:
Сделать-то как раз легко - вручную (а не автоматом) настроить для вебмани-кипера (или браузера используемого для входа в лайт) правила в фаерволе разрешающие подключение только к определенному списку ip/доменов.
Вот только где взять такой список? На сайте WM и в FAQ я такого не видел. А вручную смотреть куда он лезет и заносить в список муторно - ipшек много, и постоянно на разные лезет. Видимо серверов для распределения нагрузки много. В результате у меня стояло правило ограничивающие только направление и порт.

Добрый день.

Разрешение только на порт 443?

Убрали из разрешенного в файрволле:

*Разрешать Исходящее TCP на PROXY:8080 для WMAGENT.EXE

Это не оно случаем?

Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )

O

1

Osindi

19 марта 2010, 08:42

#383

Присоединяюсь к грустной теме.

Осилил все 39 страниц.

7-го числа была попытка активации в то время, когда я 100% был офлайн. IP совпадает с моим по первым двум цифрам, последние 2 другие. Пробил по whois получил провайдера в Санкт-Петербурге, тогда как сам я в Киеве. После этого незамедлительно поставил блокировку по IP на 2 фиксированных адреса- домашний и рабочий. Перегенерировать ключи не догадался.

За несколько дней до этого начал жутко тормозить комп. 20-30% неслабого процессора все время сьедалось процессом System. Востановил систему из образа недельной давности. Прошло.

Думаю что это работал троян.

10-го числа утром не смог войти. Сменили пароль. "увели" 35000 WMR.

Чудом, за 8 часов до этого оплатил в магазине покупку фотоаппарата за 65000 WMR.

Общение с суппортом аналогичное: "пароль был сменен, обращайтесь в правоохранитеоьные органы своей страны". Как обошли блокировку по IP - молчок.

Таких матов хочется высказать! Жаль что не поможет.

Вводили так:

2010.03.10 10:00:49 35019.84 R190704443681 Заявка №374: 35019.84 WMR => 33794.14 руб. Альфабанк, счёт 40817810009820005118 Медведева Екатерина Николаевна. obmening.ru

Было: Антивирус АВАСТ, XP SP3.

Думаю, стоит ли получить атестат? В документах на его получении написанно: "упрощенная процедура востановления контроля над утраченным WMID". Но, тут читаю что зато можно будет брать кредиты. Очень не хочется что бы вломав мой кошелек еще раз(а с такой дырявой системой защиты WM, не исключаю) злоумышленники еще и кредитов понабирали. что посоветуете?

Сейчас решил последовать совету с форума:

Нетбук за 350$
Windws7
Работа из под обычного пользователя без прав администратора
Касперский Интернет Cекюрити в параноидальном режиме
Опера с выключенными плагинами.
Максимальные настройки безопастности для IE.
Включаю только когда нужно проделать операции с WM.
Ни аськи, ни скайпа, ничего кроме Кипера.

Завел себе второй WMID пока не разблокировали взломанный, так WM заблокировало его по причине совпадания контактной информации. Для разблокировки требует объеденить сертификаты на этот и на украденный WMID, но для этого нужен контроль, а его пока нет. Придется регистрировать еще 1 WMID уже без данных.

933

юни

19 марта 2010, 09:25

#384

Lusi:
А вебмани эту информацию не дают.

Если Вы обратились в милицию, попросите дознавателя (следователя) узнать эту информацию по официальному запросу.

И как можно быстрее, желательно.

Динозавр:
Нельзя написать заявление и тем более открыть уголовное дело опираясь только на слова анонимного работника арбитража, который даже свои ФИО и должность назвать категорически отказался.

Под каким предлогом отказываются принять заявление?

Osindi:
Общение с суппортом аналогичное: "пароль был сменен, обращайтесь в правоохранитеоьные органы своей страны". Как обошли блокировку по IP - молчок.
Таких матов хочется высказать! Жаль что не поможет.

Так в милицию-то обращались?

https://searchengines.guru/ru/forum/944108 - прокси-сервис на базе операторов домашнего интернета, сотни тысяч IP-адресов, канал от 20 Мбит

A

138

Arkvel

19 марта 2010, 09:53

#385

Сегодня утром, как всегда, запустил Keeper и ввел пароль к своему WMID. После чего он был принят, но потом программа просто вырубилась. То есть, окно с подключением не высвечивалось. Я подумал, что это какой-нибудь баг системы и скачал новую версию программы - тоже самое. Другой WMID нормально запускается.

Почта, на которую регнут вмид - почищена. Было около 300 сообщений, теперь ~30.

Запустился на другом компьютере - всё хорошо, за исключением того, что система высвечивает ошибку:

Произошла ошибка при выполнении команды:
Имя команды: Вход в систему WebMoney
• Вы ошиблись при вводе пароля на вход (именно на вход, не путать с кодом доступа к файлу ключей);
• Вы указали неверный файл ключей, например:

Самое странное, что вирусов на компьютере не обнаружено. Сканил Авирой, AVZ и переносным др.вебом.

Вот как взломали меня. На кошельке было 25к рублей. Для меня это довольно-таки много...

Сообщение не несет никакого вопроса, просто решил поделиться своим несчастьем :)

990

kxk

19 марта 2010, 09:55

#386

Arkvel, Антивирус NOD32 или Касперский ?

Ваш DEVOPS

A

138

Arkvel

19 марта 2010, 10:04

#387

Авира. И частенько во время работы сканировал avz

O

1

Osindi

19 марта 2010, 10:08

#388

Arkvel, да-да. Точно так же как у всех...

Юни, еще нет.

1. Деньги ушли в Россию.

2. В аналогичных темах. где обращались - деньги ушли на давно утерянный пасспорт.

3. Боюсь "неудобных" вопросов.

В общем решаюсь. Сумма не маленькая, но шанс вернуть небольшой, а шанс попасть под пристальное наблюдение налоговой - большой. Вот и думаю... :(

933

юни

19 марта 2010, 10:11

#389

Osindi:
деньги ушли на давно утерянный пасспорт

Если узнаем ip, то с помощью правоохранительных органов есть шанс выйти непосредственно на человека, переводившего деньги.

118

Masaco

19 марта 2010, 10:21

#390

юни:
Если узнаем ip, то с помощью правоохранительных органов есть шанс выйти непосредственно на человека, переводившего деньги.

Ну допустим узнаешь что человек,который переводил краденый ВМ на обменник,который вывел на карту,

пользовался бесплатным вайфаем в кафе.

Или мобильным интернетом типа йоты,скайлинка.

Что дальше?

Мой WMID#243517221869

Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы

В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов

У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?