Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Downloaded torrent - pay. A new type of fraud

Адвокат

Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
02.10.2009
Beiträge
821
Punkte für Reaktionen
18
Punkte
18
Website
advoc-garant.ru
Torrent heruntergeladen - bezahlen. Eine neue Art von Betrug

Erst gestern bin ich auf eine interessante Nachricht gestoßen.

Mit dem guten alten „Social Engineering“ ging ein neuer Virus online.

Das Funktionsprinzip ist einfach wie 3 Cent. Der Trojaner dringt leicht in den Computer des Opfers ein und sucht nach den erforderlichen Dateien. Was denken Sie? Exe? Doc? Nee. .torrent. Wenn mindestens eine Datei erkannt wird, wird das folgende Bild auf dem Bildschirm angezeigt:
 

Anhänge

  • торрент.doc
    217,5 KB · Aufrufe: 240
Original message
Скачал торрент – плати. Новый вид мошенничества

Буквально вчерася, наткнулся на интересую новость.

В сети начал гулять новый вирус, с использованием старой доброй «социальной инженерии».

Принцип действия прост как 3 копейки. Троян без особого труда проникает на компьютер жертвы и ищет нужные файлы. Какие вы думаете? Exe? Doc? Неа. .torrent. Если обнаруживает хоть один файл, то на экран получаете вот такую вот картинку:

Адвокат

Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
02.10.2009
Beiträge
821
Punkte für Reaktionen
18
Punkte
18
Website
advoc-garant.ru
Kurz übersetzt: Lyalyalya Pappel, Sie haben illegal Inhalte von einer Piratenseite heruntergeladen und sie sagen, dass Sie für die Erlaubnis und eine Geldstrafe von nur 400 US-Dollar bezahlen müssen. Sogar eine Schätzung ist beigefügt.
Als nächstes kommen die Drohungen, sie sagen "verletzen ist nicht gut", "Gott fürchten", "aber was ist mit bürgerlicher Verantwortung?" Übrigens, die ganze Zeit, die ich fragen möchte, ist sich überhaupt jemand der Gegenwart bewusst: "Was ist zivilrechtliche Haftung?" Ich habe das nie verstanden, ich habe es nicht studiert, niemand hat es erklärt, aber ich weiß, dass sie in der Armee und während der Verhöre ständig Druck darauf ausüben. Fuck weiß was es wirklich ist. Die Hauptsache, die jeder weiß, dass dies „Uuuuu“ ist, aber wenn es wirklich um die Interpretation geht, dann ist es für jeden anders. Entschuldigung, vom Hauptthema abgelenkt. Wie immer ins Schleudern geraten.

Wenn Sie versuchen, diese Aktion abzulehnen, wird im Allgemeinen eine Warnung angezeigt, die besagt: "Sie setzen sich, aber Sie stehlen nicht" © Popanov.

Bisher hat sich diese Art der Infektion nur im Westen verbreitet, da russische Benutzer wahrscheinlich jedem drei Briefe für den gleichen Betrag senden, als sie etwas tun werden, und sie werden eindeutig vermuten, dass etwas nicht stimmt. Und dann haben die "Filmemacher" hier einen Brief geschrieben. Lange gelacht. Nun, wie versuchen sie, den Leuten auf geordnete Weise Geld für Scheißfilme abzureißen?

Die Symptome eines Trojaners können wie folgt bestimmt werden:


Die linke Datei wird im Verzeichnis% System% \ c_100009.exe angezeigt

Verschreibt sich in der Registrierung in den folgenden Abschnitten:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ ESENT \ Process \ ipconfig
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ ESENT \ Process \ ipconfig \ DEBUG
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ qrjaslop
HKEY_CURRENT_USER \ Software \ qrjaslop

Die neu erstellten Registrierungswerte sind:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ ESENT \ Process \ ipconfig \ DEBUG]
Trace Level = ""
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings]
6 = 7C 21 51 93
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run]
jbte = "% System% \ c_100009.exe"

Damit wird c_100009.exe bei jedem Start von Windows ausgeführt

[HKEY_LOCAL_MACHINE \ SOFTWARE \ qrjaslop]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings]
[HKEY_CURRENT_USER \ Software \ qrjaslop]

Es registriert sich auch in Hosts auf dem lokalen Computer:

127.0.0.1 mininova.org
127.0.0.1 https://www.mininova.org
127.0.0.1 thepiratebay.org
127.0.0.1 https://3.mo.mirsudrf.ru/modules.php?nam ... urt & id = 217
127.0.0.1 suprbay.org
127.0.0.1 https://www.suprbay.org
127.0.0.1 forum.mininova.org
127.0.0.1 blog.mininova.org

So viel abfangen und er verarbeitet bereits nach Bedarf.

Viel Glück und sicheres Internet.

PS Kaspersky Anti-Virus kennt die Infektion bereits.

Quelle: https://www.sd-company.su/news/296
 
Original message
Вкратце перевод: Ляляля тополя, Вы незаконно скачали контент с пиратского сайта и мол требуется заплатить за разрешение и штраф всего 400 долларов. Даже смета прилагается.
Далее идут угрозы, мол «нарушать не хорошо», «побойтесь бога», «а как же гражданская ответственность». Кстати все время хочу спросить, кто нибудь вообще в курсе по настоящему, «Что такое гражданская ответственность?» Никогда этого не понимал, не изучал, никто не объяснял, но знаю, что в армии и на допросах, постоянно на это давят. Хрен его знает, что это такое на самом деле. Главное все знают, что это «Ууууу», но когда реально дело доходит до трактовки, то у всех она разная. Извиняюсь, отвлекся от главной темы. Как обычно занесло.

В общем если пытаетесь отказаться от сие действа, то вам выскакивает предупреждение, мол «тебя посядЮт, а ты не воруй» © Попанов.

Пока данного рода зараза распространилась только на западе, так как российские пользователи скорее всего пошлют всех на три буквы за такую сумму, чем чего то будут предпринимать и явно заподозрят что то не ладное. А то писали тут «киношники» одно письмо. Смеялся долго. Ну как с народа пытаются в приказном порядке содрать деньги за говно-фильмы.

Симптомы трояна можно определить по следующему:


Появляется левый файлик в каталоге: %System%\c_100009.exe

Прописывает себя в реестре по следующим разделам:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig\DEBUG
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\qrjaslop
HKEY_CURRENT_USER\Software\qrjaslop

The newly created Registry Values are:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig\DEBUG]
Trace Level = ""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
6 = 7C 21 51 93
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
jbte = "%System%\c_100009.exe"

so that c_100009.exe runs every time Windows starts

[HKEY_LOCAL_MACHINE\SOFTWARE\qrjaslop]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
[HKEY_CURRENT_USER\Software\qrjaslop]

Также прописывается в hosts на локальной машине:

127.0.0.1 mininova.org
127.0.0.1 https://www.mininova.org
127.0.0.1 thepiratebay.org
127.0.0.1 https://3.mo.mirsudrf.ru/modules.php?nam ... urt&id=217
127.0.0.1 suprbay.org
127.0.0.1 https://www.suprbay.org
127.0.0.1 forum.mininova.org
127.0.0.1 blog.mininova.org

Тем самым перехватывая многое и сам уже обрабатывает так как ему надо.

Удачи вам и безопасного интернета.

P. S. Антивирус Касперского про заразу уже знает.

Источник: https://www.sd-company.su/news/296

Матушкин Андрей Николаевич

Президент IAPD
Teammitglied
Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
01.01.1970
Beiträge
22.020
Punkte für Reaktionen
3.772
Punkte
113
Alter
53
Ort
Россия,
Website
o-d-b.ru
Danke.
 
Original message
Спасибо.

До нового года осталось