Professor
Professional
- Messages
- 654
- Reaction score
- 645
- Points
- 93
ИСПОВЕДЬ ХАКЕРА.
Содержание:
Приятного чтения!
Основные виды компьютерных вирусов и зловредных программ
Павлович:
Друзья, привет! Рад вас видеть. Вы часто писали в комментах, пригласи кого-нибудь, связанного с вирусами, с ботнетами и со всей прочей этой технической штукой, которая при определенных манипуляциях легко превращается в деньги. Поэтому сегодня целый выпуск посвящен на вирусам и их дальнейшей монетизации. И как еще защититься от этого? Вот любезно приехал гость, который вам обо всем этом и поведает. Давай тогда об основных видах вообще вирусов сейчас.
Хакер:
Существует 9 видов малвари, которые используются повсеместно. Это лоадер, ботнет, клипер, стиллер, майнер, различные рансамберы, HVNC и, наверное, ратники с кейллогерами.
Ботнет (Botnet)
Павлович:
А давайте теперь конкретно по каждому типу, потому что я не все из этих слов знаю. Давай ботнет-лоадеры.
Хакер:
Существуют лоадеры и ботнеты, по факту это одно и то же, потому что в основе ботнетов, как правило, лежит резидентный лоадер. Резидентный значит, что от слова «резидент» это постоянный житель на компьютере. Он прописывается в автозагрузку, и с каждым стартом системы он в ней находится. А нерезидентный – это просто лоадеры, которые выполнили свою задачу и удалились.
Павлович:
Ну, то есть, простыми словами, лоадер – это штука для загрузки вредоносного кода, чтобы твой комп или телефон стал управляемым и превратился в бота, по сути.
Хакер:
Ну, если мы с лоадера будем подгружать какой-то ботнет или ратник с HVNC, то да. Но с помощью лоадера можно также загрузить и любое другое вредоносное программное обеспечение. Стиллеры и майнеры, по сути, ботами от этого компьютера не становятся.
Павлович:
Короче, всё заражение, по сути, происходит через этот лоудер, который на твой комп подгружает всякую там вредоносную чушь.
Хакер:
Ну, по-хорошему, да, но некоторые люди могут распространять исключительно стиллер, и тогда, ну, нет на что использовать лоадер.
Майнеры и заработок на вирусах
Павлович:
Короче, я уже совсем запутался, давай тогда пошагово, майнер, я захожу просто на некоторые сайты, бывает, и я понимаю, что я зашел на обычный сайт, там, букмекерки, допустим, И у меня комп начинает взлетать, и я понимаю, что там что-то не так.
Хакер:
Есть всякие JavaScript-майнеры. Прошлый был, по-моему, Coinhave. Самый популярный сейчас. JavaScript-майнеров уменьшилось, но они по-прежнему имеются. Также есть исполняемый файл-майнер, который не обязательно заходить на какой-то сайт, который будет монетизировать компьютер, а твой компьютер сам по себе будет постоянно добывать криптовалюту.
Как правило, сейчас на рынке среди майнеров это переделанный XMRig-майнер. Это белый софт, который предназначен, чтобы майнить монеры.
Павлович:
И просто его переделывают, то есть белый софт для майнинга определенной монеты, крипты, монеры, его переделывают, чтобы хакеры могли с его помощью как-то скрытно майнить.
Хакер:
Да его делают, его по факту даже не переделывают, для него делают лоадер, который его скачивает на компьютер и запускает с определенными параметрами. Это адрес, на который майнится, это пул, ну собственно где объединяются все майнеры, потому что в одиночку майнить на обычном компьютере майнера ты не сможешь, иначе ты будешь майнить там десятилетия, чтобы что-то получить.
Павлович:
Ну я пробовал майнить на этих, на виртуальных серверах у гугла, там арендовал их, но там конечно все очень медленно, там какие-то центы, вообще там десятки центов может за день, но это мало очень, меньше доллара там за день я получал.
Хакер:
Ну тут проблема, я думаю, не в том, что майнер какой-то плохое в целом. На майнинге с одной, там, 10 машин получается не так много средств. Но майнер приносит достаточно хороший доход, если у тебя есть, ну, более 500, наверное, машин, которые майнят 24 на 7. В среднем с какого-то процессора i5-6400 и выше ты будешь получать в районе 5 центов в день.
Если у тебя их 100, то это уже 5 долларов. Если тысячу, то 50 долларов, и понарастаешь, поэтому как дополнительная монетизация ваших установок, майнер достаточно неплохое средство, потому что он, по сути, не требует каких-либо навыков или специальных знаний, тебе необходимо просто ознакомиться с тем, что такое майнер, потратить на это
минут 30, сделать все по каким-либо гайдам интернета, которых достаточно, и, собственно, добавить его в свой пак из вирусов.
Стиллеры (Stealer)
Павлович:
Ну, майнер с ним понятно, да, манит криптовалюту короче скрытно от владельца сайта, компьютера и так далее. А стиллеры вот, раньше в мое время просто это называлось обычный троян, да, ну по сути программа для удаленного управления. Были, я не помню, ну типа remote desktop, удаленный десктоп, и сейчас это все почему-то называется стиллерами уже от английского слова steal.
Подробнее чуть об этом, какие они бывают и самый распространенные.
Хакер:
У стиллеров на самом деле на рынке не так много, их наверное штук 5, они кстати делятся на два вида, это malware as a service стиллеры и просто стиллеры, отличие заключается в том, что обычные стиллеры тебе необходимо поставить на свой хостинг, купить домен, поднять базу данных, а malware as a service стиллеры предоставляют тебе готовый продукт под ключ практически.
Тебе дают exe-шку, которая уже привязана на сервера разработчиков, и тебе остается только начать распространять этот файл, и логи, содержащие пароли, куки, автозаполнение или другие какие-либо телеграм-сессии, дискорд-сессии будут приходить в эту админку, от которой тебе дадут логи на пароль.
Павлович:
Ну, я так понимаю, в основном используют вот это вот аренду этих стиллеров, по сути.
Хакер:
Ну, сложно сказать, какой процент людей используют те или иные стиллеры, проблема скорее в том, что используя такой продукт под ключ, ты не знаешь, где находятся твои логи, потому что это всё стоит на серверах разработчика продукта.
Павлович:
То есть, может получиться так, что ты взял этот стиллер, арендовал вредоносную программу, которая будет красть у зараженных пользователей, их логи, все их пароли, куки с браузера и все прочее, потом можно с его рекламного кабинета фейсбука отливать рекламу, а счет ему будет приходить, украсть его почту, аккаунт в соцсетях, это все окей, но если ты с арендованным стиллером делаешь, то вот это вот все добро, в том числе кошельки крипты и прочее, оно может попадать еще и владельцу.
Хакер:
Этого стиллера. Да, конечно, они имеют доступ к этим логам, могут с вами что-либо делать с ними. Остается или верить на слово, или покупать обычные продукты, которые ты сам ставишь на свои хостинги, и знаешь, где находится все твое добро.
Павлович:
А с арендой стиллера такого, если арендовать, вот самый простой способ, который сейчас, так понимаю, используют начинающие хакеры, скажем так, сколько он стоит вообще в месяц?
Хакер:
Подожди, можно malware as a service это не совсем аренда, это как бы аренда, но не в том ключе, которым ты сказал, есть еще просто стилеры, которые ты арендуешь, точнее у тебя есть ежемесячный платеж, они все-таки ставятся не на сервера разработчика, а на твои, но ты каждый месяц должен наплачивать, чтобы твой билд разливали, так скажем.
Обход антивирусов
Павлович:
Но тут же еще одна сложность возникает, что вот эти вредоносные программы, там неважно, я арендую ее или у меня своя, там под мои нужды записаны, ее антивирусы будут палить регулярно.
Хакер:
Для этого ее чистит или разработчик от рантайм детекта. Рантайм — это когда продукт, стиллер, ну любое программное обеспечение работает. Работает, и антивирусы вешают на какие-либо действия детект и могут его удалить. Есть еще скантайм детект, на который мы можем повлиять. Это когда файл только попадает на компьютер. Для этого необходимо криптовать файлы или протектить разными протекторами.
Это до Enigma в mProtect файл, добавлять разные ресурсы у него, чтобы он отличался от предыдущей версии, чтобы антивирусы смотрели, ага, тут что-то изменилось, то-то и то-то разное, поэтому сразу detect мы на него вешать не будем. А от runtime detect мы не можем избавиться, потому что это detect на функции, которые делает стиллер.
То есть вредоносные какие-то определенные действия, да? Да. Например, ты можешь, точнее не ты, стиллер может удачно собрать логины и пароли твои, но когда он будет делать скриншот экрана или есть у некоторых стиллеров функция «сделать снимок с веб-камеры», на это антивирус может затригериться и все отменить. И определить его как вредоносную программу. Да. И стиллер не отработает в большинстве своем.
Клипперы (Clipper)
Павлович:
А клиперы, что такое клиперы в твоем списке?
Хакер:
Клиперы, их еще иногда называют или крипто-шафлер, или крипто-хайджекер. Но это совсем какие-то единичные случаи. Клипером в основном называют программу, которая при запуске становится в компьютер, она резидентная. Ее задача заключается в том, что она дожидается момента, когда владелец компьютера, то есть жертва, скопирует какой-либо криптокошелек и когда он будет его вставлять, подменится на твой.
Их на рынке на самом деле не так много, да и хороших по сути практически нет. Большинство из тех, которые продаются, они подменяют кошелек, допустим, битка, на какой-то единственный, который ты укажешь или укажет кодер.
Павлович:
Разработчик этого клипера?
Хакер:
Да, ты ему как бы передаешь кошелек, на который будет меняться, он тебе делает билд. Но у битка же есть три версии, на какие цифры буквы начинаются кошельки. Есть единичка, легоси, есть кошельки на троечку, есть новые кошельки, они на БЦ начинаются.
А если ты дал кодеру кошелек, который начинается на единичку, а человек копирует кошелек с BCA, то очевидно, что владелец компа, скорее всего, сразу заметит замену и пойдет проверять комп на вирусы.
Павлович:
Ну, я бы, честно скажу, не заметил, наверное.
Хакер:
То есть, там это набор буквы, цифра… — Нет, когда у тебя, допустим, даже если тройка первая у тебя вставляется один первым символом, у тебя сразу в глаза это бросается. Есть хорошие продукты, куда ты можешь засунуть, если ты купил билдер или можешь передать кодеру, сразу большое количество кошельков.
Таких продуктов, как я сказал, мало, но они намного лучше, чем вот эти обычные, которые я сказал, потому что они работают по маске какой-то, допустим, в кошельке цифра 1 может замениться, если в твоем списке переданных кошельков будет.
Павлович:
Ну я понимаю.
Хакер:
Один поменяет на букву l маленькую, пятерочку на s, и это не так сильно бросится в глаза. И шанс, что тебе переведет жертва деньги, он увеличивается.
Цены на вирусы
Павлович:
Дорого стоят эти клиперы?
Хакер:
Нет, средний прайс на клиперы, наверное, в районе 100 долларов, начинаются от 50, а заканчиваются но дороже 500 я не видел. Короче, от 50 до 500.
Павлович:
А стиллеры?
Хакер:
Стиллеры? Сейчас, давай скажем, на рынке есть 5 стиллеров основных. Это Видар и Ракун. Это маловая раса сервис. Ракун стоит 200 долларов в месяц, видар 300. Из обычных сейчас есть таурас, Таурас, Фикер и... Больше я, наверное, не скажу.
Они потому что постоянно то скамятся, то закрываются. Был не так давно Предатор. Из Предатора. Да-да-да-да. Таурас. Якобы кодер передал свой проект другому человеку, и тот его дорабатывал. Сейчас Таурас стоит 100 долларов. Вот. Предатор закрылся. Еще был Крот, Коски, они тоже...
Что такое «билд» (Build)?
Павлович:
Ну, короче, на рынке хватает, да? Пусть даже 5 штук стоит. От 100 до 300 долларов стоит. А ты несколько раз уже упоминал слово Build, просто что это такое для наших зрителей и юных, которые не разбираются?
Хакер:
Build — это экземпляр вируса, который тебе передаёт кодер, с которым ты будешь работать. То есть какой-то кастомизированный, настроенный под тебя, неопределяемый этими антивирусами, да? Ну он тебе даёт чистый файл, чистый билд, который ты должен будешь криптовать, и это твой файл, который отстукивает в нужное тебе место. Если стиллер, то в админку, если клипер, то он просто работает, если майнер, то тоже просто работает.
Ну байлдер это создатель, создаёт билд, это то, что использует.
Ратники
Павлович:
И ещё ты говорил ратники, то есть в моё время не было таких вот этого слова, вообще ратник от чего это вообще?
Хакер:
Пошло от Remote Administrative Tool. Я даже не знаю, для чего они используются, потому что это скорее для... Ну это как сейчас Teamviewer, то есть, наверное. Да, его как бы нельзя использовать для каких-то серьезных действий. У тебя просто есть полный доступ к компьютеру. Ты можешь открыть КМД, выполнить какие-то свои скрипты.
Павлович:
КМД, он имеет в виду командную строку.
Хакер:
Можешь что-то перекинуть к себе через файловые менеджер-файлы, но для работы, для какого-то профита использовать я его не вижу, как могут.
Павлович:
Но вообще они есть для чего-то делаются, да?
Хакер:
Не знаю, их продают обычно на каком-нибудь лол-стиме или хак-форуме, но особого профита от этого ты не получишь.
Павлович:
Короче, по сути, тот же Teamviewer, который позволит тебе лазить.
Хакер:
Да, это вот, лучше к себе на компьютер поставить, ими админ там, и с телефона зашёл, что-то поделал, проконтролировал.
HVNC
Павлович:
А HNVC ты ещё говорил.
Хакер:
Вот, HVNC — это, по сути, тот же ратник, только у тебя есть возможность параллельной сессии со жертвой, и ты будешь работать с ее железо, а она об этом ничего не узнает.
Павлович:
То есть, это по сути, если у человека открытый порт HVNC, допустим, да, на компе?
Хакер:
Нет, скорее, когда ты скидываешь HVNC билд, у тебя есть сервер, который стоит у тебя где-то на сервере, и есть клиент. Клиент ты распространяешь, который сам откроет порты и отстучит к тебе на сервер. Можно зайти и, используя браузер жертвы, зайти на PayPal или банк-аккаунт и совершать какие-либо действия.
Потому что, если ты просто угнал файлы с тилером, куки, пароли, то, когда ты будешь заходить в этот ак, у тебя, ну, фрауд начислится, где бы ты ни был. Палпы тебя зафраудят или Банков Америка.
А с HVNC ты заходишь прямо с IP жертвы, с его браузера сохраняются всякие фингерпринты браузера, всякие плагины и шанс, что тебе даст та или иная платежка, он максимальный.
Павлович:
Ну, в общем, если я все правильно понял, HVNC, да, это такая штука, тоже просто вредоносная программа, которая, закинул её на компьютер жертвы, она ему откроет VNC-порты, допустим, и через эти порты уже произойдёт твое подключение туда, и ты сможешь своего компа просто делать, и он не увидит ничего, правильно? Он ничего не будет. То есть не будет такого, как на TeamUvery, что мышка ездит, то есть ты видишь.
Да. А мы, кстати, в детстве такие издевались, ну в юности там постоянно, то есть через AirAdmin там заражали, AirAdmin закидывали, и чел, ну прикольно же в детстве было наблюдать, он там в одну сторону мышь тянет, а ты в другую.
Хакер:
Нет, для таких целей, конечно, можно ратник использовать и там выключать мышку, выключать клавиатуру. Смотришь, там человек играет в какую-то игру, ты ему взял мышку, отключил. Ну, смешно, да, но какого-то серьезного профита не получается.
Кейлоггеры (Keylogger)
Павлович:
А кейлоггеры, по самому названию я уже понимаю, что он просто записывает все нажатия клавиш, но это же делают и другие эти все софтины, которые ты сейчас перечислил все типы другие.
Хакер:
Ну, прям они не логируют каждое нажатие холдера по клавиатуре. И логер, я бы не сказал вообще, что это какой-то массовый софт, потому что массово грузить его смысла нет. Не будешь же ты каждого юзера отслеживать, что он куда нажимает. У стиллеров вот есть функция такая, которая, если находят в паролях какой-то линк, нужный тебе, допустим, ну, у криптобиржи или PayPal, то там есть функция лоудера, и ты можешь загрузить на этот комп еще кейлоггер.
И в таком случае ты сможешь мониторить, что нажимает пользователь. Вообще, юзабельно для того, чтобы крипту, всякие есть же холодные кошельки типа Биткоинкора, на которые ставится пароль, зашифровывается кошелек, и этот пароль не стилится стиллерами.
А ты можешь дождаться момента, когда человек его откроет, биткоинкор, кейлоггер тебе отправит сообщение, ну не сообщение, а, грубо говоря, в логе у тебя будет текст, что открыт биткоинкор, и спустя какое-то время человек при отправке средств указал какую-то пароль. Все, ты узнал пароль, и ты можешь зайти в этот wallet.Dat, который у тебя украл стиллер, и делать что-то.
Для чего используют кейлоггеры
Павлович:
В общем, кейлоггер тогда массово не используется, но это вспомогательное средство для того же стиллера, чтобы украсть уже самые там скрытые пароли, скажем так.
Хакер:
Да. Ну, также он может подходить под какие-то точечные атаки. Если тебе надо проникнуть, допустим, в какую-то сеть компании РДП, а у тебя нет админтраф, эксплойтами ты их поднять не смог, ты можешь поставить кейлоггер на этот компьютер и дождаться, когда придет, допустим, системный администратор и введет пароль от или от админки учетки или от антивируса, чтобы его отключить.
Точечная работа с кейлоггером – это хорошая вещь.
Павлович:
Переводя на простой язык, понятный вам, кейлоггер вы, короче, можете поставить на компьютер да, чтобы пароль от инстаграма узнать, и там любовную переписку с любовником тайную там скачать себе, да. А если уже серьезно, то просто когда сеть как это заражается извне там, и вы не можете получить из нее там повысить свои права, чтобы по всей сети банка пройтись, например, тогда на
комп администратора, например, ставится, ну не хватает у вас прав пойти дальше в сеть, просто ставьте логеры, его админский пароль крадете.
Хакер:
Ну да, ждете, когда он его сам ведет, и потом вы его увидите и сможете использовать.
Ransomware и вирусы-шифровальщики (вирусы-вымогатели)
Павлович:
Ransomware, вирусы-шифровальщики, уже был у меня в выпуске Никитин, там из Group-IB. Ransomware – программы-шифровальщики, которые шифруют содержимое твоего компа, твоей, например, организации компаний, и требуют, в общем, выкуп в биткоинах чаще всего.
Хакер:
Что об этом? Ну, или манеры, или битки. Я, кстати, не согласен с тем человеком, который рассказывал про Ransomware. Там, кажется, было озвучено, что расшифровывается процентов 25 паролей всего. Остальное или скам, или люди сами не могут расшифровать то, что заразили. На нашем сегменте рынка, так скажем, русскоязычном, СНГшном, нет таких продуктов, которые нельзя расшифровать.
Есть популярные Ravel, Abaddon, еще парочка. Не было никогда случаев, когда... Забоев. Забоев. Ну невозможно. У людей огромная репутация. На форумах есть депозиты от 10 до 100 битков. У этих локеров ни одного прям не было случая, при котором какие-то плохие крипты были, которые бы не смогли расшифровать.
Самый известный, наверное, сейчас из рансомвееров это Ravel, потому что они блокировали, ну операторы точнее блокировали, сам Ravel это создатель, блокировали банки, Джек Дэниелс, у Трампа какая-то новость была 43 миллиона долларов, могли содрать с него.
Павлович:
То есть Рэвил это просто, получается, название этого вирусовымогателя, скажем так.
Хакер:
Это партнерская программа, которая предоставляет свой билд криптолокеру Разница между ревелами, авадоном и еще каким-то Nightwalker особо небольшая У них разные методы шифрования У кого-то может оно идти в несколько потоков сразу Кто-то сам общается с людьми, ну операторы
Твоя задача заразить, а за тебя будет общаться Разницы по сути между этими продуктами нет Они все шифруют, способов расшифровки антивирусы не придумали еще для них, ну и скорее это просто невозможно сделать. Потому что удаляются всякие теневые копии, все блокируется, и все файлы перестают быть полезными для тебя, пока ты не заплатишь.
Павлович:
По сути, получается, что если тебя заразили этим вирусовым вымогателем, закриптовали все твои файлы, ты можешь или заплатить, и тебе дадут ключ расшифровки, либо послать нахер, если у тебя есть на компе в каком-то стороннем жестком диске, вот у меня тут в рюкзаке, все бэкапы получаются.
Хакер:
Да, если у тебя есть бэкап на внешнем жестком диске, который не был зашифрован, или где-либо еще, то без проблем ты можешь восстановиться с него.
Павлович:
Но если у меня был он на компе, где-то там в рабочей то люди, которые блокируют мою сеть, мой комп, они, конечно, все это найдут и сотрут заранее, чтобы я уже 100% заплатил.
Хакер:
Да, обычно ты или платишь, или теряешь время, если у тебя нет бэкапов, пытаешься что-то восстановить, вспомнить. Кстати, вот у ransomware сейчас пошла такая мода, они или при отказе выплатить могут слить твою информацию, информацию, важные зашифрованные файлы у компаний, они выкладываются в открытый доступ или продаются кому-то, и также, если ты решил долго подумать, что делать, то сумма выкупа удвоится или утроится через N количества дней.
Сумма выкупа при компьютерном шантаже
Павлович:
И какие суммы выкупа в среднем просто, или они зависят от компаний?
Хакер:
Нет, в основном минималка стоит то ли 200 или 300 долларов, меньше ты указать не можешь, а дальше уже, конечно, зависит от компании, смотря, что ты зашифровал, их возможность оплатить, сам ставишь цену.
REvil и Avaddon, их партнерские программы
Павлович:
А вот эти, ты сказал, Revil, Avadon и прочие, это просто готовые, вирусописатели создали готовые эти вирусы-шифровальщики, и ты у них в аренду берешь, и твоя задача сводится к чему? Просто чтобы их распространить максимально?
Хакер:
Разные партнерские программы подходят по-разному к набору своих клиентов, которые будут распространять, Допустим, школьники, которые будут грузить локеры на какие-либо, ну, дешевый трафик, так скажем, на Индию, ну, допустим, обычному человеку. Им это не надо, это доставляет больше проблем, занимает больше времени. Обычно убирают людей, которые имеют доступ к корпоративным каким-то сетям, умеют получать хороший качественный материал.
Возможно, берут каких-то спамеров, которые могут распамливать почты, ну такой более-менее качественный трафик. Ну ты говоришь, они берут. Да, ты должен прийти отбор, ты можешь купить какой-то криптолокер, который кто-то написал, но он как правило будет хуже тех, что предоставляют тебе по партнерке.
Проценты и оборот прибыли
Павлович:
А распределение процентов, вот я нашел где-то там партнерку с этим вредоносным криптолокером, я взял его, прошел у них отбор, взял его, распространяю, не знаю, через ютуб-канал к примеру, или спамом каким-то, или просто по социальной сети пишу, вот тебя споймали, как ты дрочил, и все, я назаражал целую кучу людей, и они мне заплатили, часть из них
заплатила выкуп, в каких пропорциях он делится между мной и владельцем этого вируса-шифровальщика?
Хакер:
Обычно процент начинается от 30-20 в их сторону, 70-80 получаешь ты, и доходит где-то до 10% они оставляют себе, если ты имеешь, как у рейвелов, 100 тысяч долларов в неделю. Оборот, ну, прибыли. В целом до 10% можно дойти.
То, что берут больше, уже скорее какой-то из ряда вон выходящий случай, и пользоваться такой партнёркой не стоит.
Как хакеры становятся распространителями вирусов
Павлович:
И как они рекламят, вот просто это немножко удивительный такой факт, как они рекламят себя, то есть, или это просто интересующиеся их как-то гуглят, находят, или они, то есть, я так понимаю, партнёрка, она создала просто хороший продукт, этот вирус-цифровальщик, да, но она не может жить сама без тех, кто его будет распространять, как вы находите друг друга?
Хакер:
Да, есть инфоповоды, есть просто какие-то новости на форуме. Недавно Ravel внесли 100 битков депозит на DamageLab. Это западная какая-то хакерская форума? Нет, это русскоязычный форум, он достаточно старенький на самом деле. Сейчас он XSSIS называется, или AS, если обычный домен. 100 битков, ну это хороший депозит, это миллион долларов.
Павлович:
Для чего они внесли?
Хакер:
Просто, чтобы показать, что они имеют хороший продукт, они серьезные, они хотят работать только с людьми, которые умеют работать.
Павлович:
И много таких вот, подобных тебе, допустим, кто берет у них эти вирусы-шифровальщики и распространяет.
Хакер:
Хорошим партнеркам тяжело попасть, потому что там очень строгий отбор и количество мест ограничено. Чем больше человек, если у тебя открытый набор, допустим, Брать каждого, ты даешь комнату Касперскому, даешь каким-нибудь другим ЭБС-специалистам свой продукт, поэтому обычно наборы 5-10-20 может быть команд, которые используют. И когда команда какая-то плохо работает или перестает работать, то партнерка их кикает и открывает наборы заново.
Желающих работать с какой-то известной партнёркой всегда найдётся.
Возможности хакеров
Павлович:
Ну и желающие работать кто, тогда мы уже плавно к другому блоку вопросов переходим. Кто эти люди, кто хочет работать и какими возможностями.
«Брутить дедики»
Хакер:
Вы обладаете? Работают с Рансом Вейером, скорее люди, которые уже давно в теме вирусов, они или могут брутить, брутить дедики чтобы вдруг попасть на какую-то сетку. Кто-то работает с Cobalt Strike, Burp и какими-то другими тулзами на проникновение.
Павлович:
Брутить дедики – это просто сканировать интернет на уязвимые какие-то сервера, желательно корпоративные, правильно?
Хакер:
Ну, как правило, ты просто сканишь, берешь диапазон каких-либо айпишников, добавляешь их в софт для брута, их вроде два, от Z668 и NLBRUD есть, добавляешь туда диапазон IP-шников, диапазон портов, которые сканируешь, 3389, 33389 и так далее, загружаешь туда базу паролей, паролей и логинов, и начинаешь...
Павлович:
Просто в брут загружается база паролей и логинов, да, просто чтобы он по твоему словарю шел и подбирал комбинации, чтобы быстрее... Если он встречает на каком-то сервере, который начинает ломать, встречает лёгкий пароль, по твоему словарю подбирает, это он очень быстро там целую пачку серверов тебе выдаст.
Хакер:
Да, и когда ты получаешь доступ к какой-либо одной машине, ты можешь расканить её, вдруг это какая-то сетка окажется, и дальше начинаешь работать уже по сети, и сможешь заразить уже неплохую пачку серверов.
Денежный оборот от распространения вирусов
Павлович:
Ну сколько зарабатывают, если они внесли миллион долларов в депозит, допустим, на один из форумов, сколько они зарабатывают в месяц, по твоим подсчетам?
Хакер:
Сама партнерка, я думаю, миллионы долларов в неделю. Миллионы в неделю. Даже в день.
«Кодекс чести» русских хакеров
Павлович:
И это они, получается, вот вы, кто взял у них вот эти вирусы-шифровальщики, распространяются по миру. Есть ли там кодекс, как раньше у кардеров был, журналист он постоянно спрашивает, что типа RU-шные компы не трогать, или таковое.
Хакер:
Да, конечно. Весь софт вообще, вся малварь, которая продается у нас на рынке, она, как правило, не отрабатывает на СНГ-компах. Это детектится или по раскладке на клавиатуре, которая у тебя есть, если есть RU, то всё, не отрабатывает, или по айпишнику текущему.
Павлович:
Ну, мою знакомую одну недавно заражали, там, бухгалтерская компания, там...
Хакер:
Но это, скорее, какие-то не очень хорошие или наши люди, которые работают, которые заказали софт на заказ, потому что купить такой, который будет работать на СНГ, достаточно тяжело в нашем, по крайней мере, сегменте русскоязычном. Ну, то есть, все-таки кодекс какой-то есть, да? Да, да. Даже не блокируют госпитали, учебные заведения, даже если это западные.
Был недавно случай, что атаковали, я не помню что, но в итоге заразили рансомом больницу, и якобы из-за этого умерла пациентка. После этого, как она умерла, Интерпол написал этой партнерке по контактам, которые они оставили, типа вы ошиблись, потому что в их сообщении было написано, что они блокируют какой-то другой ресурс, а попали почему-то на больницу.
Интерпол написал, что вы ошиблись, и партнерка передала ключ для дешифровки, потому что в больнице это блокировать не есть хорошо.
Павлович:
То есть пришло все-таки хакерам понимание, что несмотря на деньги, не стоит уже блокировать всех подряд?
Хакер:
Да, обычно работа ведется каким-то компаниями, которые могут заплатить, которым этот удар будет не столь Ну, сильным, чем… Ну, это совесть, моральные ценности какие-то. Блокировать Россию в больнице – это нездорово.
Содержание:
- Основные виды компьютерных вирусов и зловредных программ
- Ботнет (Botnet)
- Майнеры и заработок на вирусах
- Стиллеры (Stealer)
- Обход антивирусов
- Клипперы (Clipper)
- Цены на вирусы
- Что такое «билд» (Build)?
- Ратники
- HVNC
- Кейлоггеры (Keylogger)
- Для чего используют кейлоггеры
- Ransomware и вирусы-шифровальщики (вирусы-вымогатели)
- Сумма выкупа при компьютерном шантаже
- REvil и Avaddon, их партнерские программы
- Проценты и оборот прибыли
- Как хакеры становятся распространителями вирусов
- Возможности хакеров
- «Брутить дедики»
- Денежный оборот от распространения вирусов
- «Кодекс чести» русских хакеров
Приятного чтения!
Основные виды компьютерных вирусов и зловредных программ
Павлович:
Друзья, привет! Рад вас видеть. Вы часто писали в комментах, пригласи кого-нибудь, связанного с вирусами, с ботнетами и со всей прочей этой технической штукой, которая при определенных манипуляциях легко превращается в деньги. Поэтому сегодня целый выпуск посвящен на вирусам и их дальнейшей монетизации. И как еще защититься от этого? Вот любезно приехал гость, который вам обо всем этом и поведает. Давай тогда об основных видах вообще вирусов сейчас.
Хакер:
Существует 9 видов малвари, которые используются повсеместно. Это лоадер, ботнет, клипер, стиллер, майнер, различные рансамберы, HVNC и, наверное, ратники с кейллогерами.
Ботнет (Botnet)
Павлович:
А давайте теперь конкретно по каждому типу, потому что я не все из этих слов знаю. Давай ботнет-лоадеры.
Хакер:
Существуют лоадеры и ботнеты, по факту это одно и то же, потому что в основе ботнетов, как правило, лежит резидентный лоадер. Резидентный значит, что от слова «резидент» это постоянный житель на компьютере. Он прописывается в автозагрузку, и с каждым стартом системы он в ней находится. А нерезидентный – это просто лоадеры, которые выполнили свою задачу и удалились.
Павлович:
Ну, то есть, простыми словами, лоадер – это штука для загрузки вредоносного кода, чтобы твой комп или телефон стал управляемым и превратился в бота, по сути.
Хакер:
Ну, если мы с лоадера будем подгружать какой-то ботнет или ратник с HVNC, то да. Но с помощью лоадера можно также загрузить и любое другое вредоносное программное обеспечение. Стиллеры и майнеры, по сути, ботами от этого компьютера не становятся.
Павлович:
Короче, всё заражение, по сути, происходит через этот лоудер, который на твой комп подгружает всякую там вредоносную чушь.
Хакер:
Ну, по-хорошему, да, но некоторые люди могут распространять исключительно стиллер, и тогда, ну, нет на что использовать лоадер.
Майнеры и заработок на вирусах
Павлович:
Короче, я уже совсем запутался, давай тогда пошагово, майнер, я захожу просто на некоторые сайты, бывает, и я понимаю, что я зашел на обычный сайт, там, букмекерки, допустим, И у меня комп начинает взлетать, и я понимаю, что там что-то не так.
Хакер:
Есть всякие JavaScript-майнеры. Прошлый был, по-моему, Coinhave. Самый популярный сейчас. JavaScript-майнеров уменьшилось, но они по-прежнему имеются. Также есть исполняемый файл-майнер, который не обязательно заходить на какой-то сайт, который будет монетизировать компьютер, а твой компьютер сам по себе будет постоянно добывать криптовалюту.
Как правило, сейчас на рынке среди майнеров это переделанный XMRig-майнер. Это белый софт, который предназначен, чтобы майнить монеры.
Павлович:
И просто его переделывают, то есть белый софт для майнинга определенной монеты, крипты, монеры, его переделывают, чтобы хакеры могли с его помощью как-то скрытно майнить.
Хакер:
Да его делают, его по факту даже не переделывают, для него делают лоадер, который его скачивает на компьютер и запускает с определенными параметрами. Это адрес, на который майнится, это пул, ну собственно где объединяются все майнеры, потому что в одиночку майнить на обычном компьютере майнера ты не сможешь, иначе ты будешь майнить там десятилетия, чтобы что-то получить.
Павлович:
Ну я пробовал майнить на этих, на виртуальных серверах у гугла, там арендовал их, но там конечно все очень медленно, там какие-то центы, вообще там десятки центов может за день, но это мало очень, меньше доллара там за день я получал.
Хакер:
Ну тут проблема, я думаю, не в том, что майнер какой-то плохое в целом. На майнинге с одной, там, 10 машин получается не так много средств. Но майнер приносит достаточно хороший доход, если у тебя есть, ну, более 500, наверное, машин, которые майнят 24 на 7. В среднем с какого-то процессора i5-6400 и выше ты будешь получать в районе 5 центов в день.
Если у тебя их 100, то это уже 5 долларов. Если тысячу, то 50 долларов, и понарастаешь, поэтому как дополнительная монетизация ваших установок, майнер достаточно неплохое средство, потому что он, по сути, не требует каких-либо навыков или специальных знаний, тебе необходимо просто ознакомиться с тем, что такое майнер, потратить на это
минут 30, сделать все по каким-либо гайдам интернета, которых достаточно, и, собственно, добавить его в свой пак из вирусов.
Стиллеры (Stealer)
Павлович:
Ну, майнер с ним понятно, да, манит криптовалюту короче скрытно от владельца сайта, компьютера и так далее. А стиллеры вот, раньше в мое время просто это называлось обычный троян, да, ну по сути программа для удаленного управления. Были, я не помню, ну типа remote desktop, удаленный десктоп, и сейчас это все почему-то называется стиллерами уже от английского слова steal.
Подробнее чуть об этом, какие они бывают и самый распространенные.
Хакер:
У стиллеров на самом деле на рынке не так много, их наверное штук 5, они кстати делятся на два вида, это malware as a service стиллеры и просто стиллеры, отличие заключается в том, что обычные стиллеры тебе необходимо поставить на свой хостинг, купить домен, поднять базу данных, а malware as a service стиллеры предоставляют тебе готовый продукт под ключ практически.
Тебе дают exe-шку, которая уже привязана на сервера разработчиков, и тебе остается только начать распространять этот файл, и логи, содержащие пароли, куки, автозаполнение или другие какие-либо телеграм-сессии, дискорд-сессии будут приходить в эту админку, от которой тебе дадут логи на пароль.
Павлович:
Ну, я так понимаю, в основном используют вот это вот аренду этих стиллеров, по сути.
Хакер:
Ну, сложно сказать, какой процент людей используют те или иные стиллеры, проблема скорее в том, что используя такой продукт под ключ, ты не знаешь, где находятся твои логи, потому что это всё стоит на серверах разработчика продукта.
Павлович:
То есть, может получиться так, что ты взял этот стиллер, арендовал вредоносную программу, которая будет красть у зараженных пользователей, их логи, все их пароли, куки с браузера и все прочее, потом можно с его рекламного кабинета фейсбука отливать рекламу, а счет ему будет приходить, украсть его почту, аккаунт в соцсетях, это все окей, но если ты с арендованным стиллером делаешь, то вот это вот все добро, в том числе кошельки крипты и прочее, оно может попадать еще и владельцу.
Хакер:
Этого стиллера. Да, конечно, они имеют доступ к этим логам, могут с вами что-либо делать с ними. Остается или верить на слово, или покупать обычные продукты, которые ты сам ставишь на свои хостинги, и знаешь, где находится все твое добро.
Павлович:
А с арендой стиллера такого, если арендовать, вот самый простой способ, который сейчас, так понимаю, используют начинающие хакеры, скажем так, сколько он стоит вообще в месяц?
Хакер:
Подожди, можно malware as a service это не совсем аренда, это как бы аренда, но не в том ключе, которым ты сказал, есть еще просто стилеры, которые ты арендуешь, точнее у тебя есть ежемесячный платеж, они все-таки ставятся не на сервера разработчика, а на твои, но ты каждый месяц должен наплачивать, чтобы твой билд разливали, так скажем.
Обход антивирусов
Павлович:
Но тут же еще одна сложность возникает, что вот эти вредоносные программы, там неважно, я арендую ее или у меня своя, там под мои нужды записаны, ее антивирусы будут палить регулярно.
Хакер:
Для этого ее чистит или разработчик от рантайм детекта. Рантайм — это когда продукт, стиллер, ну любое программное обеспечение работает. Работает, и антивирусы вешают на какие-либо действия детект и могут его удалить. Есть еще скантайм детект, на который мы можем повлиять. Это когда файл только попадает на компьютер. Для этого необходимо криптовать файлы или протектить разными протекторами.
Это до Enigma в mProtect файл, добавлять разные ресурсы у него, чтобы он отличался от предыдущей версии, чтобы антивирусы смотрели, ага, тут что-то изменилось, то-то и то-то разное, поэтому сразу detect мы на него вешать не будем. А от runtime detect мы не можем избавиться, потому что это detect на функции, которые делает стиллер.
То есть вредоносные какие-то определенные действия, да? Да. Например, ты можешь, точнее не ты, стиллер может удачно собрать логины и пароли твои, но когда он будет делать скриншот экрана или есть у некоторых стиллеров функция «сделать снимок с веб-камеры», на это антивирус может затригериться и все отменить. И определить его как вредоносную программу. Да. И стиллер не отработает в большинстве своем.
Клипперы (Clipper)
Павлович:
А клиперы, что такое клиперы в твоем списке?
Хакер:
Клиперы, их еще иногда называют или крипто-шафлер, или крипто-хайджекер. Но это совсем какие-то единичные случаи. Клипером в основном называют программу, которая при запуске становится в компьютер, она резидентная. Ее задача заключается в том, что она дожидается момента, когда владелец компьютера, то есть жертва, скопирует какой-либо криптокошелек и когда он будет его вставлять, подменится на твой.
Их на рынке на самом деле не так много, да и хороших по сути практически нет. Большинство из тех, которые продаются, они подменяют кошелек, допустим, битка, на какой-то единственный, который ты укажешь или укажет кодер.
Павлович:
Разработчик этого клипера?
Хакер:
Да, ты ему как бы передаешь кошелек, на который будет меняться, он тебе делает билд. Но у битка же есть три версии, на какие цифры буквы начинаются кошельки. Есть единичка, легоси, есть кошельки на троечку, есть новые кошельки, они на БЦ начинаются.
А если ты дал кодеру кошелек, который начинается на единичку, а человек копирует кошелек с BCA, то очевидно, что владелец компа, скорее всего, сразу заметит замену и пойдет проверять комп на вирусы.
Павлович:
Ну, я бы, честно скажу, не заметил, наверное.
Хакер:
То есть, там это набор буквы, цифра… — Нет, когда у тебя, допустим, даже если тройка первая у тебя вставляется один первым символом, у тебя сразу в глаза это бросается. Есть хорошие продукты, куда ты можешь засунуть, если ты купил билдер или можешь передать кодеру, сразу большое количество кошельков.
Таких продуктов, как я сказал, мало, но они намного лучше, чем вот эти обычные, которые я сказал, потому что они работают по маске какой-то, допустим, в кошельке цифра 1 может замениться, если в твоем списке переданных кошельков будет.
Павлович:
Ну я понимаю.
Хакер:
Один поменяет на букву l маленькую, пятерочку на s, и это не так сильно бросится в глаза. И шанс, что тебе переведет жертва деньги, он увеличивается.
Цены на вирусы
Павлович:
Дорого стоят эти клиперы?
Хакер:
Нет, средний прайс на клиперы, наверное, в районе 100 долларов, начинаются от 50, а заканчиваются но дороже 500 я не видел. Короче, от 50 до 500.
Павлович:
А стиллеры?
Хакер:
Стиллеры? Сейчас, давай скажем, на рынке есть 5 стиллеров основных. Это Видар и Ракун. Это маловая раса сервис. Ракун стоит 200 долларов в месяц, видар 300. Из обычных сейчас есть таурас, Таурас, Фикер и... Больше я, наверное, не скажу.
Они потому что постоянно то скамятся, то закрываются. Был не так давно Предатор. Из Предатора. Да-да-да-да. Таурас. Якобы кодер передал свой проект другому человеку, и тот его дорабатывал. Сейчас Таурас стоит 100 долларов. Вот. Предатор закрылся. Еще был Крот, Коски, они тоже...
Что такое «билд» (Build)?
Павлович:
Ну, короче, на рынке хватает, да? Пусть даже 5 штук стоит. От 100 до 300 долларов стоит. А ты несколько раз уже упоминал слово Build, просто что это такое для наших зрителей и юных, которые не разбираются?
Хакер:
Build — это экземпляр вируса, который тебе передаёт кодер, с которым ты будешь работать. То есть какой-то кастомизированный, настроенный под тебя, неопределяемый этими антивирусами, да? Ну он тебе даёт чистый файл, чистый билд, который ты должен будешь криптовать, и это твой файл, который отстукивает в нужное тебе место. Если стиллер, то в админку, если клипер, то он просто работает, если майнер, то тоже просто работает.
Ну байлдер это создатель, создаёт билд, это то, что использует.
Ратники
Павлович:
И ещё ты говорил ратники, то есть в моё время не было таких вот этого слова, вообще ратник от чего это вообще?
Хакер:
Пошло от Remote Administrative Tool. Я даже не знаю, для чего они используются, потому что это скорее для... Ну это как сейчас Teamviewer, то есть, наверное. Да, его как бы нельзя использовать для каких-то серьезных действий. У тебя просто есть полный доступ к компьютеру. Ты можешь открыть КМД, выполнить какие-то свои скрипты.
Павлович:
КМД, он имеет в виду командную строку.
Хакер:
Можешь что-то перекинуть к себе через файловые менеджер-файлы, но для работы, для какого-то профита использовать я его не вижу, как могут.
Павлович:
Но вообще они есть для чего-то делаются, да?
Хакер:
Не знаю, их продают обычно на каком-нибудь лол-стиме или хак-форуме, но особого профита от этого ты не получишь.
Павлович:
Короче, по сути, тот же Teamviewer, который позволит тебе лазить.
Хакер:
Да, это вот, лучше к себе на компьютер поставить, ими админ там, и с телефона зашёл, что-то поделал, проконтролировал.
HVNC
Павлович:
А HNVC ты ещё говорил.
Хакер:
Вот, HVNC — это, по сути, тот же ратник, только у тебя есть возможность параллельной сессии со жертвой, и ты будешь работать с ее железо, а она об этом ничего не узнает.
Павлович:
То есть, это по сути, если у человека открытый порт HVNC, допустим, да, на компе?
Хакер:
Нет, скорее, когда ты скидываешь HVNC билд, у тебя есть сервер, который стоит у тебя где-то на сервере, и есть клиент. Клиент ты распространяешь, который сам откроет порты и отстучит к тебе на сервер. Можно зайти и, используя браузер жертвы, зайти на PayPal или банк-аккаунт и совершать какие-либо действия.
Потому что, если ты просто угнал файлы с тилером, куки, пароли, то, когда ты будешь заходить в этот ак, у тебя, ну, фрауд начислится, где бы ты ни был. Палпы тебя зафраудят или Банков Америка.
А с HVNC ты заходишь прямо с IP жертвы, с его браузера сохраняются всякие фингерпринты браузера, всякие плагины и шанс, что тебе даст та или иная платежка, он максимальный.
Павлович:
Ну, в общем, если я все правильно понял, HVNC, да, это такая штука, тоже просто вредоносная программа, которая, закинул её на компьютер жертвы, она ему откроет VNC-порты, допустим, и через эти порты уже произойдёт твое подключение туда, и ты сможешь своего компа просто делать, и он не увидит ничего, правильно? Он ничего не будет. То есть не будет такого, как на TeamUvery, что мышка ездит, то есть ты видишь.
Да. А мы, кстати, в детстве такие издевались, ну в юности там постоянно, то есть через AirAdmin там заражали, AirAdmin закидывали, и чел, ну прикольно же в детстве было наблюдать, он там в одну сторону мышь тянет, а ты в другую.
Хакер:
Нет, для таких целей, конечно, можно ратник использовать и там выключать мышку, выключать клавиатуру. Смотришь, там человек играет в какую-то игру, ты ему взял мышку, отключил. Ну, смешно, да, но какого-то серьезного профита не получается.
Кейлоггеры (Keylogger)
Павлович:
А кейлоггеры, по самому названию я уже понимаю, что он просто записывает все нажатия клавиш, но это же делают и другие эти все софтины, которые ты сейчас перечислил все типы другие.
Хакер:
Ну, прям они не логируют каждое нажатие холдера по клавиатуре. И логер, я бы не сказал вообще, что это какой-то массовый софт, потому что массово грузить его смысла нет. Не будешь же ты каждого юзера отслеживать, что он куда нажимает. У стиллеров вот есть функция такая, которая, если находят в паролях какой-то линк, нужный тебе, допустим, ну, у криптобиржи или PayPal, то там есть функция лоудера, и ты можешь загрузить на этот комп еще кейлоггер.
И в таком случае ты сможешь мониторить, что нажимает пользователь. Вообще, юзабельно для того, чтобы крипту, всякие есть же холодные кошельки типа Биткоинкора, на которые ставится пароль, зашифровывается кошелек, и этот пароль не стилится стиллерами.
А ты можешь дождаться момента, когда человек его откроет, биткоинкор, кейлоггер тебе отправит сообщение, ну не сообщение, а, грубо говоря, в логе у тебя будет текст, что открыт биткоинкор, и спустя какое-то время человек при отправке средств указал какую-то пароль. Все, ты узнал пароль, и ты можешь зайти в этот wallet.Dat, который у тебя украл стиллер, и делать что-то.
Для чего используют кейлоггеры
Павлович:
В общем, кейлоггер тогда массово не используется, но это вспомогательное средство для того же стиллера, чтобы украсть уже самые там скрытые пароли, скажем так.
Хакер:
Да. Ну, также он может подходить под какие-то точечные атаки. Если тебе надо проникнуть, допустим, в какую-то сеть компании РДП, а у тебя нет админтраф, эксплойтами ты их поднять не смог, ты можешь поставить кейлоггер на этот компьютер и дождаться, когда придет, допустим, системный администратор и введет пароль от или от админки учетки или от антивируса, чтобы его отключить.
Точечная работа с кейлоггером – это хорошая вещь.
Павлович:
Переводя на простой язык, понятный вам, кейлоггер вы, короче, можете поставить на компьютер да, чтобы пароль от инстаграма узнать, и там любовную переписку с любовником тайную там скачать себе, да. А если уже серьезно, то просто когда сеть как это заражается извне там, и вы не можете получить из нее там повысить свои права, чтобы по всей сети банка пройтись, например, тогда на
комп администратора, например, ставится, ну не хватает у вас прав пойти дальше в сеть, просто ставьте логеры, его админский пароль крадете.
Хакер:
Ну да, ждете, когда он его сам ведет, и потом вы его увидите и сможете использовать.
Ransomware и вирусы-шифровальщики (вирусы-вымогатели)
Павлович:
Ransomware, вирусы-шифровальщики, уже был у меня в выпуске Никитин, там из Group-IB. Ransomware – программы-шифровальщики, которые шифруют содержимое твоего компа, твоей, например, организации компаний, и требуют, в общем, выкуп в биткоинах чаще всего.
Хакер:
Что об этом? Ну, или манеры, или битки. Я, кстати, не согласен с тем человеком, который рассказывал про Ransomware. Там, кажется, было озвучено, что расшифровывается процентов 25 паролей всего. Остальное или скам, или люди сами не могут расшифровать то, что заразили. На нашем сегменте рынка, так скажем, русскоязычном, СНГшном, нет таких продуктов, которые нельзя расшифровать.
Есть популярные Ravel, Abaddon, еще парочка. Не было никогда случаев, когда... Забоев. Забоев. Ну невозможно. У людей огромная репутация. На форумах есть депозиты от 10 до 100 битков. У этих локеров ни одного прям не было случая, при котором какие-то плохие крипты были, которые бы не смогли расшифровать.
Самый известный, наверное, сейчас из рансомвееров это Ravel, потому что они блокировали, ну операторы точнее блокировали, сам Ravel это создатель, блокировали банки, Джек Дэниелс, у Трампа какая-то новость была 43 миллиона долларов, могли содрать с него.
Павлович:
То есть Рэвил это просто, получается, название этого вирусовымогателя, скажем так.
Хакер:
Это партнерская программа, которая предоставляет свой билд криптолокеру Разница между ревелами, авадоном и еще каким-то Nightwalker особо небольшая У них разные методы шифрования У кого-то может оно идти в несколько потоков сразу Кто-то сам общается с людьми, ну операторы
Твоя задача заразить, а за тебя будет общаться Разницы по сути между этими продуктами нет Они все шифруют, способов расшифровки антивирусы не придумали еще для них, ну и скорее это просто невозможно сделать. Потому что удаляются всякие теневые копии, все блокируется, и все файлы перестают быть полезными для тебя, пока ты не заплатишь.
Павлович:
По сути, получается, что если тебя заразили этим вирусовым вымогателем, закриптовали все твои файлы, ты можешь или заплатить, и тебе дадут ключ расшифровки, либо послать нахер, если у тебя есть на компе в каком-то стороннем жестком диске, вот у меня тут в рюкзаке, все бэкапы получаются.
Хакер:
Да, если у тебя есть бэкап на внешнем жестком диске, который не был зашифрован, или где-либо еще, то без проблем ты можешь восстановиться с него.
Павлович:
Но если у меня был он на компе, где-то там в рабочей то люди, которые блокируют мою сеть, мой комп, они, конечно, все это найдут и сотрут заранее, чтобы я уже 100% заплатил.
Хакер:
Да, обычно ты или платишь, или теряешь время, если у тебя нет бэкапов, пытаешься что-то восстановить, вспомнить. Кстати, вот у ransomware сейчас пошла такая мода, они или при отказе выплатить могут слить твою информацию, информацию, важные зашифрованные файлы у компаний, они выкладываются в открытый доступ или продаются кому-то, и также, если ты решил долго подумать, что делать, то сумма выкупа удвоится или утроится через N количества дней.
Сумма выкупа при компьютерном шантаже
Павлович:
И какие суммы выкупа в среднем просто, или они зависят от компаний?
Хакер:
Нет, в основном минималка стоит то ли 200 или 300 долларов, меньше ты указать не можешь, а дальше уже, конечно, зависит от компании, смотря, что ты зашифровал, их возможность оплатить, сам ставишь цену.
REvil и Avaddon, их партнерские программы
Павлович:
А вот эти, ты сказал, Revil, Avadon и прочие, это просто готовые, вирусописатели создали готовые эти вирусы-шифровальщики, и ты у них в аренду берешь, и твоя задача сводится к чему? Просто чтобы их распространить максимально?
Хакер:
Разные партнерские программы подходят по-разному к набору своих клиентов, которые будут распространять, Допустим, школьники, которые будут грузить локеры на какие-либо, ну, дешевый трафик, так скажем, на Индию, ну, допустим, обычному человеку. Им это не надо, это доставляет больше проблем, занимает больше времени. Обычно убирают людей, которые имеют доступ к корпоративным каким-то сетям, умеют получать хороший качественный материал.
Возможно, берут каких-то спамеров, которые могут распамливать почты, ну такой более-менее качественный трафик. Ну ты говоришь, они берут. Да, ты должен прийти отбор, ты можешь купить какой-то криптолокер, который кто-то написал, но он как правило будет хуже тех, что предоставляют тебе по партнерке.
Проценты и оборот прибыли
Павлович:
А распределение процентов, вот я нашел где-то там партнерку с этим вредоносным криптолокером, я взял его, прошел у них отбор, взял его, распространяю, не знаю, через ютуб-канал к примеру, или спамом каким-то, или просто по социальной сети пишу, вот тебя споймали, как ты дрочил, и все, я назаражал целую кучу людей, и они мне заплатили, часть из них
заплатила выкуп, в каких пропорциях он делится между мной и владельцем этого вируса-шифровальщика?
Хакер:
Обычно процент начинается от 30-20 в их сторону, 70-80 получаешь ты, и доходит где-то до 10% они оставляют себе, если ты имеешь, как у рейвелов, 100 тысяч долларов в неделю. Оборот, ну, прибыли. В целом до 10% можно дойти.
То, что берут больше, уже скорее какой-то из ряда вон выходящий случай, и пользоваться такой партнёркой не стоит.
Как хакеры становятся распространителями вирусов
Павлович:
И как они рекламят, вот просто это немножко удивительный такой факт, как они рекламят себя, то есть, или это просто интересующиеся их как-то гуглят, находят, или они, то есть, я так понимаю, партнёрка, она создала просто хороший продукт, этот вирус-цифровальщик, да, но она не может жить сама без тех, кто его будет распространять, как вы находите друг друга?
Хакер:
Да, есть инфоповоды, есть просто какие-то новости на форуме. Недавно Ravel внесли 100 битков депозит на DamageLab. Это западная какая-то хакерская форума? Нет, это русскоязычный форум, он достаточно старенький на самом деле. Сейчас он XSSIS называется, или AS, если обычный домен. 100 битков, ну это хороший депозит, это миллион долларов.
Павлович:
Для чего они внесли?
Хакер:
Просто, чтобы показать, что они имеют хороший продукт, они серьезные, они хотят работать только с людьми, которые умеют работать.
Павлович:
И много таких вот, подобных тебе, допустим, кто берет у них эти вирусы-шифровальщики и распространяет.
Хакер:
Хорошим партнеркам тяжело попасть, потому что там очень строгий отбор и количество мест ограничено. Чем больше человек, если у тебя открытый набор, допустим, Брать каждого, ты даешь комнату Касперскому, даешь каким-нибудь другим ЭБС-специалистам свой продукт, поэтому обычно наборы 5-10-20 может быть команд, которые используют. И когда команда какая-то плохо работает или перестает работать, то партнерка их кикает и открывает наборы заново.
Желающих работать с какой-то известной партнёркой всегда найдётся.
Возможности хакеров
Павлович:
Ну и желающие работать кто, тогда мы уже плавно к другому блоку вопросов переходим. Кто эти люди, кто хочет работать и какими возможностями.
«Брутить дедики»
Хакер:
Вы обладаете? Работают с Рансом Вейером, скорее люди, которые уже давно в теме вирусов, они или могут брутить, брутить дедики чтобы вдруг попасть на какую-то сетку. Кто-то работает с Cobalt Strike, Burp и какими-то другими тулзами на проникновение.
Павлович:
Брутить дедики – это просто сканировать интернет на уязвимые какие-то сервера, желательно корпоративные, правильно?
Хакер:
Ну, как правило, ты просто сканишь, берешь диапазон каких-либо айпишников, добавляешь их в софт для брута, их вроде два, от Z668 и NLBRUD есть, добавляешь туда диапазон IP-шников, диапазон портов, которые сканируешь, 3389, 33389 и так далее, загружаешь туда базу паролей, паролей и логинов, и начинаешь...
Павлович:
Просто в брут загружается база паролей и логинов, да, просто чтобы он по твоему словарю шел и подбирал комбинации, чтобы быстрее... Если он встречает на каком-то сервере, который начинает ломать, встречает лёгкий пароль, по твоему словарю подбирает, это он очень быстро там целую пачку серверов тебе выдаст.
Хакер:
Да, и когда ты получаешь доступ к какой-либо одной машине, ты можешь расканить её, вдруг это какая-то сетка окажется, и дальше начинаешь работать уже по сети, и сможешь заразить уже неплохую пачку серверов.
Денежный оборот от распространения вирусов
Павлович:
Ну сколько зарабатывают, если они внесли миллион долларов в депозит, допустим, на один из форумов, сколько они зарабатывают в месяц, по твоим подсчетам?
Хакер:
Сама партнерка, я думаю, миллионы долларов в неделю. Миллионы в неделю. Даже в день.
«Кодекс чести» русских хакеров
Павлович:
И это они, получается, вот вы, кто взял у них вот эти вирусы-шифровальщики, распространяются по миру. Есть ли там кодекс, как раньше у кардеров был, журналист он постоянно спрашивает, что типа RU-шные компы не трогать, или таковое.
Хакер:
Да, конечно. Весь софт вообще, вся малварь, которая продается у нас на рынке, она, как правило, не отрабатывает на СНГ-компах. Это детектится или по раскладке на клавиатуре, которая у тебя есть, если есть RU, то всё, не отрабатывает, или по айпишнику текущему.
Павлович:
Ну, мою знакомую одну недавно заражали, там, бухгалтерская компания, там...
Хакер:
Но это, скорее, какие-то не очень хорошие или наши люди, которые работают, которые заказали софт на заказ, потому что купить такой, который будет работать на СНГ, достаточно тяжело в нашем, по крайней мере, сегменте русскоязычном. Ну, то есть, все-таки кодекс какой-то есть, да? Да, да. Даже не блокируют госпитали, учебные заведения, даже если это западные.
Был недавно случай, что атаковали, я не помню что, но в итоге заразили рансомом больницу, и якобы из-за этого умерла пациентка. После этого, как она умерла, Интерпол написал этой партнерке по контактам, которые они оставили, типа вы ошиблись, потому что в их сообщении было написано, что они блокируют какой-то другой ресурс, а попали почему-то на больницу.
Интерпол написал, что вы ошиблись, и партнерка передала ключ для дешифровки, потому что в больнице это блокировать не есть хорошо.
Павлович:
То есть пришло все-таки хакерам понимание, что несмотря на деньги, не стоит уже блокировать всех подряд?
Хакер:
Да, обычно работа ведется каким-то компаниями, которые могут заплатить, которым этот удар будет не столь Ну, сильным, чем… Ну, это совесть, моральные ценности какие-то. Блокировать Россию в больнице – это нездорово.
