Работа с крипто-логами. Часть 2.

Здарова, басота! Соскучились? Мы тут в бункере от коронавируса прячемся, сидим на годовых запасах гречи ✌🏻😁

Сегодня для вас вторая часть по работе с логами. Мы разберем основные сервисы и платежные системы, на которые стоит обратить внимание, а также кратко, но емко осветим процесс их монетизации.

РАБОТА С КРИПТОЙ В ЛОГАХ

Работая с крипто-логами очень важно иметь доступ к почте. Поэтому в случае, если вы нашли лог с криптой (в списке паролей есть линки на криптобиржи или криптокошельки) СРАЗУ ЖЕ идите проверять почту. Ибо в 90% случаев информация о логировании, подтверждение о логировании, о выводе средств и так далее - всё это присылается на почту. Если, к примеру, не имея доступа к почте у нас всё равно есть возможность обработать логи пейпал, ебей и другие сервис, то в случае с криптой у вас не будет возможности даже просто попасть на аккаунт. 

Холодные кошельки в логах со стиллера сохраняются в отдельной папочке "Coins" и имеют формат wallet.dat . Для того, чтобы проверить их на содержимое, нужно открыть wallet.dat через обычный блокнот.

Перед нами откроется кривой код кошелька. Нажимаем комбинацию CTRL+F и ищем «name».

Name - это и будет адрес кошелька, который скрыт в этой папке. И теперь, копируя полученный адрес, мы можем проверить его содержимое на бирже. Есть монеты, у которых нет своего блокчейна, в таком случае, прибегнуть к этому варианту не получится. 

Итак, копируем значение "XXs3Mduh8kxPbgqFQKwGWYM9YjH5R6SYbK", найденное в wallet.dat.

Теперь идем в гугл и пишем /имя кошелька/ explorer. В данном случае minexcoin explorer.

Переходим по ссылке , вставляем адрес и видим баланс 

Идем на https://coinmarketcap.com и смотрим сколько стоит эта монета.

В данном случае это копейки и не стоит даже заморачиваться с выводом. Таким образом просматриваем все кошельки. Если баланс вас заинтересует , то качайте кошелек монеты с оффициального сайта, прописывая в гугле, к примеру, Minexcoin wallet. Как скачаете, меняйте файл wallet.dat в папке C:\Users\имякомпа\AppData\Roaming\имя кошелька\ и уже с помощью кошелька выводите куда вам хочется.

Кстати , не популярные монеты есть не на всех биржах. Чтобы узнать, куда нам можно вывести монеты, нужно посмотреть где торгуется монета. Для этого на том же https://coinmarketcap.com есть раздел чуть ниже 

Тут мы видим биржи, на которых торгуется монета. Заводим там аккаунт, выводим себе монеты. Тут все просто, я думаю.

ФАЙЛЫ С РАБОЧЕГО СТОЛА ЖЕРТВЫ

Сейчас вы поймете, почему в функции стиллера так необходимо иметь форм-граббер файлов. В том же азорульте есть очень гибкая настройка для граббинга файлов. Можно задавать путь залегания файла, тип файла, максимальный размер и тд. Под всё подряд настраивать не нужно, вполне достаточно настроить на форматы ".txt" и ".doc" с рабочего стола. Почему то многим жертвам нравится хранить там данные. Часто бывает такое, что даже услужливо подписывают свои текстовики для нас, чтобы мы понимали какой пароль от чего 😂❤️

Для примера откроем рандомный лог и посмотрим, что нам стянул стиллер с рабочего стола жертвы. Открываем файл:

Что же это такое? Полагаю, это 12 слов для восстановления блокчейн кошелька. Также выше есть логин, но нет пароля. Пароль мы, скорее всего, сможем подобрать из числа паролей в файле с паролями. Но сейчас не об этом. Если есть 12 слов восстановления, то мы можем не искать пасс, а сразу восстановить кошелек. Для этого идем на https://login.blockchain.com/#/login

Вводим 12 слов.

Придумываем от балды почту, пароль, ставим галочку

Попадаем в кошель. Ну и, соответственно, можем спокойно вывести то, что есть.

Далее, в текстовом файле есть такая вот вещь. Monero для логина генерирует приватный ключ. Поэтому, если видите вот такую картину, значит это и есть сам вход. Действуем по аналогии с блокчейном: заходим на сайт, вводим 13 слов (у разных типов криптомонет количество слов разное) и смотрим баланс, затем выводим.

У Эфира же логин для входа может выглядеть вот так: 

Идем на сайт myetherwallet.com 

Видим баланс. Тут его, к сожалению, нет.

ЛОГИНЫ И ПАРОЛИ ОТ БИРЖ И КОШЕЛЬКОВ

Самая сложная часть это чекать логины с паролями. Тут много надо чего знать . Я первым делом смотрю куки и есть ли у меня доступ к почте.

Далее, как по инструкции - загрузили куки, заходим на почту. Следует всегда держать почту открытой, ибо для большинства сайтов требуется подтверждение для входа через почту. Как только вы прочитали письмо, сразу удаляйте его в корзину, а затем и из корзины.

В дополнение, я проверяю почту по запросам "deposit", "withdaw", "transfer", т.к обычно при каких-либо денежных манипуляциях письмо падает на почту и можно понять, с чем мы имеем дело и с какого кошелька начать. Часто на вход стоит дополнительная защита - 2 Factor Auntefication (2FA)

Это такой 6 значный код, который нужно ввести в специальное поле при входе. Для этого нужно искать резервную копию этого самого кода. Она может быть как в текстовом варианте, так и в виде QR кода. Найти его можно, как показала практика, где угодно. Смотрим подсервисы гугл аккаунта - Google Drive, Google Photo, Google Documents, черновики на почте, отправленные сообщения. Бывало такое, что чтобы расковырять какой-либо лог мне необходимо было по несколько часов. Если же мы находим те самые 2фа, то скачиваем себе на телефон приложение "Google Autentification" , сканируем код или вписываем текст, теперь у нас на телефоне генерируется 6-ти значный код - такой же, как и на телефоне хозяина аккаунта. 

И еще. Если есть гугл аккаунт, пароли можно поискать по ссылке "passwords.google.com" 

В данном случае, логируемся туда и пароли будут скрыты за глазиком. Такие пароли сохраняются с каких-либо андроид устройств. Если же наш владелец этими устройствами пользуется, то и в этих паролям можно найти много интересного.

На этом с криптой закончили. В следующей части будем разбирать работу с аккаунтами Paypal, которые можно найти почти в каждом логе.