Forum Library
Professional
В данной статье мы рассмотрим работу с криптологами на примере логов с Azorult.
Кошельки: имеют формат wallet.dat . Если они есть, то в логе создается папка Coins. Смотрим что в ней есть:
(Папка coins в логе со стиллера Azorult)
В нашем случае есть 3 кошелька. Как проверить их на предмет баланса? Качать каждый это очень долго. Просто открываем наш wallet.dat блокнотом и ищем там поиском строку ''name''. Для примера возьмем MinexCoin:
Копируем найденное значение. В нашем случае это: XXs3Mduh8kxPbgqFQKwGWYM9YjH5R6SYbK
Это и есть наш адрес кошелька, теперь идем в гугл и пишем /имя кошелька/ explorer. В данном случае «minexcoin explorer»:
Переходим по ссылке, вставляем полученный ранее адрес и видим баланс нашего кошелька:
Идем на coinmarketcap и смотрим сколько стоит эта монета.
В данном случае это копейки и не стоит даже заморачиваться с выводом. Так просматриваем все кошельки. Если баланс вас заинтересует , то качайте кошелек монеты с офф сайта, ищите в гугле /название монеты/ wallet. После скачивания заменяете файл wallet.dat в папке:
После этого с помощью кошелька выводите монеты куда вам хочется .
Кстати, не популярные монеты есть не на всех биржах . Чтобы узнать , куда нам можно вывести монеты , нужно посмотреть , где она торгуется. Для этого на том же coinmarketcap есть раздел «Markets» , переходим в него и мы видим биржи, на которых торгуется монета. Заводим там аккаунт, выводим себе монеты, с этим всё просто.
Файлы:
Обычно в логах вы можете найти изображения и текстовые файлы с рабочего стола.
В нашем случае на рабочем столе лежал файл с названием «Passwords». Открываем файл и ищем что нибудь интересное для нас.
Первое что видим, это 12 слов для восстановления блокчейн кошелька. Так же выше есть логин, но нет пароля. Пароль скорее всего подойдет от файла с логами/пассами. Но сейчас не об этом.
Если есть 12 слов , то мы можем не искать пароль , а сразу восстановить кошелёк. Для этого идем на https://login.blockchain.com/#/login и проходим процедуру восстановления, где нас и попросят ввести эти 12 слов.
В конце данной процедуры нам нужно будет ввести новые почту и пароль, после чего мы попадаем в наш кошелёк и выводим всё что есть. Profit!
Если в текстовом файле есть кошельки от других криптовалют, таких как монеро и пр., и секретная фраза для их восстановления, то работаем по той же схеме. Единственное что нам уже нужно будет проходить восстановление не на Blockchain, а на сайте указанного кошелька или монеты.
Так же у нас в файле видим кошелёк Ethereum и секретный ключ для доступа к нему:
Нас интересует этот самый 64х значный ключ. Идем на сайт myetherwallet и делаем следующее:
Попадаем в кошелёк и если что то находим (баланс или токены), то выводим куда нам удобнее.
Логины и пароли:
Первым делом определяем основную почту жертвы исходя из количества аккаунтов зарегистрированных на неё.
Импортируем куки в наш браузер (Google Chrome, Firefox, LinkenSphere) и пытаемся войти на эту почту, в большинстве случаев проблем со входом нет.
Далее смотрим логи на предмет сайтов, связанных с криптовалютой. Это могут быть такие сайты как:
и прочие.
Так же стоит смотреть и биржи: Exmo, Binance, Bittrex, Cryptopia, Yobit, Livecoin, StocksExchange ...
Следует всегда держать почту открытой, ибо для большинства сайтов требуется подтверждение для входа через почту. Как только вы прочитали письмо, удаляйте его в корзину а затем и из корзины.
Часто на вход стоит дополнительная защита - Two-factor authentication (2FA).
Это 6 значный код, который нужно ввести в специальное поле при входе. Для этого нужно искать резервную копию этого самого кода в логе, она может быть как в текстовом варианте, так и в виде QR кода. Скачиваем себе на телефон приложение Google Authenticator, сканируем QR код или вписываем текст, теперь у нас на телефоне генерируется 6-ти значный код, такой же, как и на телефоне хозяина акка.
На этом всё.
Кошельки: имеют формат wallet.dat . Если они есть, то в логе создается папка Coins. Смотрим что в ней есть:
(Папка coins в логе со стиллера Azorult)
В нашем случае есть 3 кошелька. Как проверить их на предмет баланса? Качать каждый это очень долго. Просто открываем наш wallet.dat блокнотом и ищем там поиском строку ''name''. Для примера возьмем MinexCoin:
Копируем найденное значение. В нашем случае это: XXs3Mduh8kxPbgqFQKwGWYM9YjH5R6SYbK
Это и есть наш адрес кошелька, теперь идем в гугл и пишем /имя кошелька/ explorer. В данном случае «minexcoin explorer»:
Переходим по ссылке, вставляем полученный ранее адрес и видим баланс нашего кошелька:
Идем на coinmarketcap и смотрим сколько стоит эта монета.
В данном случае это копейки и не стоит даже заморачиваться с выводом. Так просматриваем все кошельки. Если баланс вас заинтересует , то качайте кошелек монеты с офф сайта, ищите в гугле /название монеты/ wallet. После скачивания заменяете файл wallet.dat в папке:
Code:
C:\Users\имякомпа\AppData\Roaming\имя кошелька\Кстати, не популярные монеты есть не на всех биржах . Чтобы узнать , куда нам можно вывести монеты , нужно посмотреть , где она торгуется. Для этого на том же coinmarketcap есть раздел «Markets» , переходим в него и мы видим биржи, на которых торгуется монета. Заводим там аккаунт, выводим себе монеты, с этим всё просто.
Файлы:
Обычно в логах вы можете найти изображения и текстовые файлы с рабочего стола.
В нашем случае на рабочем столе лежал файл с названием «Passwords». Открываем файл и ищем что нибудь интересное для нас.
Первое что видим, это 12 слов для восстановления блокчейн кошелька. Так же выше есть логин, но нет пароля. Пароль скорее всего подойдет от файла с логами/пассами. Но сейчас не об этом.
Если есть 12 слов , то мы можем не искать пароль , а сразу восстановить кошелёк. Для этого идем на https://login.blockchain.com/#/login и проходим процедуру восстановления, где нас и попросят ввести эти 12 слов.
В конце данной процедуры нам нужно будет ввести новые почту и пароль, после чего мы попадаем в наш кошелёк и выводим всё что есть. Profit!
Если в текстовом файле есть кошельки от других криптовалют, таких как монеро и пр., и секретная фраза для их восстановления, то работаем по той же схеме. Единственное что нам уже нужно будет проходить восстановление не на Blockchain, а на сайте указанного кошелька или монеты.
Так же у нас в файле видим кошелёк Ethereum и секретный ключ для доступа к нему:
Нас интересует этот самый 64х значный ключ. Идем на сайт myetherwallet и делаем следующее:
Попадаем в кошелёк и если что то находим (баланс или токены), то выводим куда нам удобнее.
Логины и пароли:
Первым делом определяем основную почту жертвы исходя из количества аккаунтов зарегистрированных на неё.
Импортируем куки в наш браузер (Google Chrome, Firefox, LinkenSphere) и пытаемся войти на эту почту, в большинстве случаев проблем со входом нет.
Далее смотрим логи на предмет сайтов, связанных с криптовалютой. Это могут быть такие сайты как:
Code:
https://cryptonator.com
https://www.blockchain.com/
https://minergate.com
https://faucethub.io/
https://www.eobot.com
https://allcoins.pw
https://www.faucetcrypto.com
https://www.coinbase.com
https://hashflare.ioТак же стоит смотреть и биржи: Exmo, Binance, Bittrex, Cryptopia, Yobit, Livecoin, StocksExchange ...
Следует всегда держать почту открытой, ибо для большинства сайтов требуется подтверждение для входа через почту. Как только вы прочитали письмо, удаляйте его в корзину а затем и из корзины.
Часто на вход стоит дополнительная защита - Two-factor authentication (2FA).
Это 6 значный код, который нужно ввести в специальное поле при входе. Для этого нужно искать резервную копию этого самого кода в логе, она может быть как в текстовом варианте, так и в виде QR кода. Скачиваем себе на телефон приложение Google Authenticator, сканируем QR код или вписываем текст, теперь у нас на телефоне генерируется 6-ти значный код, такой же, как и на телефоне хозяина акка.
На этом всё.
