Письмо в взломе почты и заражении ПК

[harmless]

На почту пришло письмо следующего содержания:

 

Hello!

I'm a hacker who cracked your email and device a few months ago.
You entered a password on one of the sites you visited, and I intercepted it.
This is your password from harmless@rtural.ru on moment of hack: XXXXXXXXXXX

Of course you can will change it, or already changed it.
But it doesn't matter, my malware updated it every time.

Do not try to contact me or find me, it is impossible, since I sent you an email from your account.

Through your email, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.
Also I installed a Trojan on your device and long tome spying for you.

You are not my only victim, I usually lock computers and ask for a ransom.
But I was struck by the sites of intimate content that you often visit.

I am in shock of your fantasies! I've never seen anything like this!

So, when you had fun on piquant sites (you know what I mean!)
I made screenshot with using my program from your camera of yours device.
After that, I combined them to the content of the currently viewed site.

There will be laughter when I send these photos to your contacts!
BUT I'm sure you don't want it.

Therefore, I expect payment from you for my silence.
I think $880 is an acceptable price for it!

Pay with Bitcoin.
My BTC wallet: 1JTtwbvmM7ymByxPYCByVYCwasjH49J3Vj

If you do not know how to do this - enter into Google "how to transfer money to a bitcoin wallet". It is not difficult.
After receiving the specified amount, all your data will be immediately destroyed automatically. My virus will also remove itself from your operating system.

My Trojan have auto alert, after this email is read, I will be know it!

I give you 2 days (48 hours) to make a payment.
If this does not happen - all your contacts will get crazy shots from your dark secret life!
And so that you do not obstruct, your device will be blocked (also after 48 hours)

Do not be silly!
Police or friends won't help you for sure ...

p.s. I can give you advice for the future. Do not enter your passwords on unsafe sites.

I hope for your prudence.
Farewell.

 

 

Пароль(скрыт мной как XXXXXXXXXXX) - мой, за тем исключением, что он не от почты и в отличии от реального - весь в нижнем регистре.

Следов взлома в почтовом ящике не обнаружено.

Kaspersky Virus Removal Tool ничего на ПК не нашла.

CollectionLog-2018.10.23-18.06.zip

Изменено 23 октября, 2018 пользователем harmless

[SQ]

Порядок оформления запроса о помощи.

P.S. В последнее время многие получает схожие письма, важно не вести переговоры с злоумышлинниками, так как в большестве случаев это фэйк и рекомендуется пометить это письмо как спам. Также рекомедуется сменить пароль (на более сложный) на почту и убедиться в его настройках об отсутствие несанкционнированных переадресации.

[Sandor]

Здравствуйте!

 

Ждем п.2 правил раздела.

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[harmless]

AdwCleaner - одна проблема найдена

AdwCleanerS00.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

P.S. какой-то активной угрозы на ПК не замечено.

[harmless]

После удаления.

Спасибо за помощь.

AdwCleanerC00.txt

[SQ]

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[harmless]

Результат FRST

Addition.txt

FRST.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  CustomCLSID: HKU\S-1-5-21-1742887001-1638586083-3413774097-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath
  Task: {33250045-FE14-433C-ADBB-501641C1F241} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
  Task: {3C98EA9F-5DE9-45AB-9363-69AED09A1F72} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  Task: {5AD365FC-C1F1-40A2-82A0-14FCEEDA4E4A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
  Task: {7188A8C7-6CEF-46A6-AD2A-AE25D54DA28A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
  Task: {90AA3ED4-8D03-472A-BE33-68319E7C4EEE} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
  Task: {9E31D95C-480A-4AC3-8148-E89C7FCF5305} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
  Task: {A1797722-212C-45C6-AD6C-D5EDA9763CF6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
  Task: {B54DEB90-C4BE-4945-BD8E-077824DC3555} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
  Task: {C76798A1-DB89-4657-9C37-917E566662D0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
  Task: {CEF7BBF8-07F7-48F1-8E5D-4C0D1D6BFD74} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
  Task: {E4D5391F-D560-43D3-A828-DA4C8E49A2CB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
  Task: {EBE89A47-8064-4B31-9D65-7CD9DF4D9804} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Какой-то активной угрозы не увидел, однока если вы используете роутер Mikrotik то убедитесь, что установлено актуальна версия прошивки. Однако есть мнение, что версия 6.43.2 и выше может превратить ваш роутер в кирпич.

[harmless]

Fixlog

 

4 микротика в использовании - пару дней как обновил с 6.43.2 на 6.43.4 - ни на той, ни на другой версии проблем не наблюдал.

Fixlog.txt

[SQ]

В любом случае в логах не увидел активной угрозы. В Mikrotik проверьте также нет ли каких-то вредоносных задач (System->Scripts).

 

1 .Выполните скрипт в AVZ при наличии доступа в интернет:
 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

2. В завершение:

• Пожалуйста, запустите adwcleaner.exe
     
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
     
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

[regist]

 

 

P.S. В последнее время многие получает схожие письма,

зачем так далеко ходить, на оф. сайте с пятницы обсуждают https://forum.kaspersky.com/index.php?/topic/402483-%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC-%D0%BF%D0%BE%D1%87%D1%82%D1%8B/