Крипто шериф не работает

Обновлено: 04.07.2024

Может вы один из тех инвесторов-миллениалов или поколения X, которые считают, что им для выхода на пенсию “потребуется чудо”.

Вас беспокоит стремительный рост государственного долга, не такая уж временная инфляция и то, что же в итоге произойдет, когда ставки, наконец, начнут расти.

🔥 Крипта для вас — спасательный круг.

Может вы один из 70% американцев, которые не одобряют действия Конгресса и больше не доверяют политикам и их решениям, учитывая, что они тратят бабки бессмысленно и беспощадно, а инсайдерская торговля остается безнаказанной.

Вы жаждите найти альтернативу централизованным планам в Вашингтоне и Пекине.

🔥 Крипта для вас — способ высказать свое мнение.

А может вы популист, правых или левых взглядов, которого жутко бесит, что Уолл-стрит так и не понесла ответственности за разжигание последнего финансового кризиса, и, как правило, получает максимальную выгоду от федеральной политики.

Или вас беспокоит монополия Big Tech, цензура и тотальный контроль над вашими личными данными.

🔥 Крипта для вас скорее оружие.

На графике все наглядно видно:

Конечно, может вы пришли в крипту за легкими деньгами, джипегами и мемами. Это тоже неплохо.

Неважно, что вами движет, миссионерство или корысть.

В любом случае, очевидно, что одна из основных объединяющих сил, — вера в то, что децентрализованные технологии со встроенными финансовыми стимулами (неплохое сокращение для Web3) предлагают классную, часто прибыльную альтернативу существующим устаревшим институтам.

Это подводит нас к первому прогнозу на 2022 год:

В “реальном” мире ситуация сначала ухудшится, прежде чем станет лучше.

Уровень инфляции останется выше 5% в течение всего 2022 года (вероятность 70%), а повышение процентных ставок замедлит динамику фондового рынка и нанесет ущерб растущим акциям

(Вероятность 60%, что S&P упадет в следующем году).

Краткосрочно для крипты это хорошо, но в среднесрочно более рискованно, потому что все больше криптокомпаний и их пользователей будут подвержены цензуре, которая будет усиливаться со стороны западных технологических и банковских платформ в условиях подавления криптовалют администрацией Байдена.

Один из немногих медвежьих прогнозов в этом отчете.

Крипта, или как ее модно начали называть “Web3”, становится непреодолимой силой в долгосрочной перспективе.

💬 Крис Диксон назвал все это “интернетом, принадлежащим разработчикам и пользователям, организованным с помощью токенов".

💬 Эшита описывает эволюцию Web1 -> Web2 -> Web3 как "Доступное только для чтения" -> Читай и Пиши -> Читай, Пиши, Владей.

Как не назови, и так понятно, что экономика, где собственность принадлежит пользователю, в долгосрочной перспективе обойдет экономику, принадлежащую монополиям.

Мы много разберем в этом отчете, но основная тема неизменна: мы уходим от интернета, построенного на “арендованной земле” монополистов, к бесконечным границам новых возможностей.

Крипта по большому счету представляет собой очевидную эволюцию всех монополий, и именно ее неизбежный приход пугает чиновников.

Уже все есть, чтобы преуспеть:

  • Таланты: рекордное количество блестящих, страстных, амбициозных молодых разработчиков создают открытые решения в крипто экосистеме, часто по ночам и выходным.
  • Капитал: гигантское количество денег, собранных венчурными фондами, и огромное количество собранных средств для крипто стартапов, а также ошеломляющий рост числа новых ликвидных протоколов по всему Web3.
  • Своевременность: необходимая инфраструктура была создана во время последнего медвежьего рынка, что облегчило (в социальном и практическом плане), развитие этого техно-политического движения.

В недавнем посте Эрика Питерса из One River Capital говорится:

"Мы живем в период социальных потрясений, когда молодые люди стремятся инвестировать в технологии, которые разрушают (и потенциально разоряют) учреждения, предпочитаемые старшими поколениями, одновременно используя инвестиции, которые им выгодны за счет старой гвардии".

По словам Питерса, самое лучше в том, чтобы быть молодым и без денег, — это то, что “тебе нечего терять".

И это отчетливо проявляется в тех случаях, когда молодые люди считают привычные институты эксплуататорами.

✅ DeFi предлагает вкладчикам 5% против 0,5% на Уолл-стрит.

✅ Невзаимозаменяемые токены (“NFT”) дают создателям возможности монетизации без 50%+ комиссионных Голливуду.

Мы на 99% уверены, что к 2030 году криптовалюта вырастет на порядки, потому что экономика пользователей намного привлекательнее.

Мы на пороге полной трансформации мировой экономики.

И это может быть больше , чем создание мобильных устройств, и, возможно, больше, чем сам Интернет.

Еще не до конца понятно, на какой стадии цикла мы находимся прямо сейчас, но попутные ветры остаются сильными, а рынки капитала оживленными.

Таким образом, наши вероятности распределены между тремя сценариями:

  • Скорее всего, мы увидим импульс к хаям до конца первого квартала 2022 года, а затем не глубокий, но все равно болезненный многолетний медвежий рынок;
  • Огромный пузырь в размере 20 триллионов долларов, который продлится весь год и сравняется с бумом доткомов в реальных долларах.

Маловероятно, но возможно, учитывая адаптивную денежно-кредитную политику во всем мире, бесконечные государственные расходы и ускоренное развитие криптовалют;

  • Медленно, но верно двигаемся вверх в бесконечность (идея о “суперцикле”).

По иронии судьбы самый медвежий случай здесь (первый вариант) может стать самым бычьим в долгосрочной перспективе, и наоборот.

“Гипербиткоинизация” и господство криптовалют на данном этапе нашего развития возможны только в очень мрачных условиях.

“Web3” — прекрасный термин, охватывающий:

  • Криптовалюты (цифровое золото и стейблы)
  • Смарт-контракты (первого и второго слоев)
  • Децентрализованную аппаратную инфраструктуру (видео, хранение и проч.)
  • NFT (цифровые ID и права собственности)
  • DeFi (финансовые услуги по обмену и залогам)
  • Метавселенную (цифровой мир)
  • Управление сообществом (DAO)

Мы ожидаем рост по всему спектру Web3, однако 3 области еще слабо развиты:

  1. Инфраструктура NFT
  2. Инструментарий DAO
  3. Мосты между протоколами

В сфере NFT сейчас начинается взрыв инноваций.

Непонятно, насколько сильно смогут вырасти цены на конкретные коллекции, но я точно знаю, что надежных и удобных инструментов для NFT по-прежнему не хватает.

Маркетплейсы, финансовые примитивы, инструменты для авторов, бизнес-модели для комьюнити и децентрализованные системы управления персональными данными/репутацией — все это находится в зачаточном состоянии.

Именно эта основная инфраструктура станет одной из самых востребованных областей с точки зрения инвестиций в 2022 году.

Все это верно и для инструментов DAO, которые необходимы криптосообществам прямо сейчас, когда апатия в голосовании достигает критического уровня, а инвестиции проходят слишком долго.

Если вы считаете также , что в ближайшие 10 лет открытые, управляемые токенами рынки заменят компании; и признаете, что их сообществам необходимы 100-кратные улучшения инструментов совместной работы для более эффективной работы по сравнению с централизованными конкурентами; и знаете, что сейчас каждая транзакция казначейства DAO, по сути, подлежит голосованию на уровне правления; тогда вы понимаете, почему 2022 год станет годом инструментов DAO.

Я поставил на эту идею как с помощью своего личного портфолио, так и с помощью Messari, где мы сделали ставку на создание операционной системы для участия в Web3.

И последнее, но не менее важное — основа криптосистемы: решения для масштабирования и совместимости Ethereum.

Блокчейн Ethereum достиг предела своих возможностей в этом году.

Альтернативные крипто платформы 1-го уровня выросли в цене в 50-100 раз, потому что инвесторы сделали ставку на разработку крипто решений в целях параллельного использования в новых экосистемах и удовлетворения избыточного спроса.

Всем этим новым блокчейнам (плюс роллапам 2-го уровня) придется общаться друг с другом, поэтому самой острой болью в крипте может стать отсутствие мостов.

Если нам уготовано будущее с несколькими блокчейнами, то те, кто сможет создать лучший способ мультиблокчейного соединения и поможет комфортно перемещать активы между парачейнами, зонами, роллапами, тот и завоюет (виртуальный) мир.

Возможно, вам кажется, что я говорю на инопланетном языке, но именно поэтому главы 6 (NFT), 8 (совместимость первых слоев) и 9 (DAO) занимают практически треть всего отчета.

Для каждого сектора крипто индустрии характерны разные факторы, влияющие на стоимость.

Мы перешли от“все — криптовалюта” к “на самом деле, есть валюты, крутые протоколы, приложения DeFi, распределенные вычислительные платформы, NFT, рынки для заработка. ”

Прошаренные инвесторы все чаще обращают внимание на фактическое использование и лежащую в основе микроэкономику различных сетей и строят свои торговые идеи вокруг уникальных факторов роста.

Это все еще мемный рынок, но как много мемов отражают, осмелюсь сказать, фундаментал проекта?

Ари Пол написал содержательный тред о недавнем разделении крипторынков:

The decoupling cycle: this is the cycle where crypto use cases unrelated to bitcoin's were finally validated and achieved meaningful adoption. Millions of people are engaging with gaming and NFTs without ever touching or associating that activity with bitcoin (or even ETH).

Перевод твита 👇🏻

"Это тот самый цикл, в ходе которого варианты использования криптовалюты перестали быть связанными с Биткоином и получили значимое распространение. В прошлые циклы, не было особого смысла в том, чтобы быть специалистом в определенной крипто области.

Defi и NFT почти не существовали 4 года назад. Да и большинство других “секторов”, по сути, вообще не существовало как таковых. “Децентрализованное хранилище”, “платформы смарт-контрактов”, “конфиденциальность” и другие “отрасли”, на которые частенько сегментировали весь крипто рынок, были по больше части произвольными и в целом бессмысленными. теперь же, DeFi фермерство или NFT спекуляции стали полноценными работами, и вам рано или поздно понадобится небольшая команда, чтобы хотя бы не отставать в одном из этих сегментов”.

Очень важное направление развития. Именно тут у частных инвестиционных фондов будет огромное конкурентное преимущество по сравнению с их конкурентами широкого профиля.

То, что удерживает порог входа в крипто инвестирование на высоком уровне — это крупная информационная асимметрия в стандартах“отчетности” протоколов, сложность технического обучения и ограниченная инфраструктура управления рисками (как сотрудники решают вопросы с комплаенсом, правоприменением и бухгалтерским учетом в некоторых из этих новых структур).

На сегодняшний день криптофонды переживают лучшие времена своей жизни. Динамика, которая, вероятно, сохранится и в новом году.

Объемы капиталов, которые вошли в этом году на рынок, просто поражают воображение.

Фонды, специализирующиеся на криптовалютах, получили рекордный прирост капитала и рекордный размер AUM за счет повышения стоимости их основных активов.

Некоторые фонды (да-да, я про вас, Multicoin), вероятно, стали одними из самых эффективных инвестиционных фирм за всю историю.

Так что легко понять, почему у них не возникает проблем с тем, чтобы и дальше загребать бабло.

Сложно оценить размеры рынка частных криптофондов прямо сейчас.

Раунд в размере 25 млн долларов, который мы (Mesarri) собрали для DCG в 2015 году, был одним из крупнейших на тот момент.

А сегодня, у таких фирм, как Polychain, Paradigm, a16z, Multicoin, 3AC и других у каждого под управлением миллиарды долларов (в некоторых случаях более 10 миллиардов долларов) или более, и чек на 25 миллионов долларов — это сделка среднего размера.

Хедж-фонды планируют влить 7% их активов в крипту в течение 5 лет, да и пенсионные фонды начинают покупать напрямую!

У крупных управляющих капиталом кривая риска продолжает расти на фоне отрицательных процентных ставок, так что большинство из них просто больше не могут позволить себе игнорировать крипто индустрию.

❗ За 10 лет образовался рынок объемов в $3 трлн, который теперь конкурирует со всеми другими венчурными стартапам.

Когда новые деньги попадают в крипту, они, как правило, текут в двух направлениях — внутрь и вниз. Но никак не наружу.

Капитал может стекать вниз в поисках более высокой беты, но поднимаясь, он не покидает экосистему, кроме как на налоги. Наоборот он оседает в BTC, ETH, SOL или других голубых крипто фишках.

Если вы не хотите инвестировать напрямую в токены, то это нормально.

Потребность в инфраструктуре для токенов привела к рождению крипто единорогов, которые предлагают хеджированный доступ к базовому классу активов.

В третьем квартале произошло 423 сделки на сумму $8 млрд частных инвестиций. Это практически половина от общего объема всех за этот год сделок размером в $17,8 млрд.

И это больше, чем за предыдущие 6 лет.

Почти 90% крупнейших сделок в истории крипты произошли в этом году, и это без учета прямого листинга Coinbase.

⚖ Около 75% финансирования было направлено на инфраструктуру и централизованные услуги, и это было до заявлений FTX и DCG и потенциально неизбежного заявления о финансировании Binance.

Институционалы здесь. И в этот раз это действительно так.

  • Падение, которое мы все ждем, может быть не таким серьезным, как в прошлые циклы, но как насчет оставшегося роста?
  • Даже с учетом благоприятных условий, которые мы обсудили выше, не кажется ли вам, что сейчас цена несколько завышена?
  • Не смущает капа Шибы в 30 миллиардов долларов или реклама NFT на Таймс-сквер?

Вот сигналы о максимумах, которые мы ждем. Начнем с битка.

У бати нет соперников (Более подробно в главе 3).

Это денежный актив без прибыли, поэтому его цена зависит от ценности, что означает, что его почти всегда оценивают аналогично золоту.

Но для Биткоина характеры и свои “фундаментальные принципы”, которые тоже стоит отслеживать!

Одним из примеров, может быть, соотношение рыночной стоимости к реализованной стоимости.

Это отношение рыночной капитализации Биткоина “в свободном обращении” (монеты, которые переместились за последние пять лет) к “реализованной стоимости”, что является суммарной рыночной стоимостью каждого BTC на момент его последнего перемещения в блокчейне.

Рыночная капа может оставаться неизменной, а вот реализованная может резко вырасти и наоборот.

  • Первая — это стоимость Биткоина, помноженная на количество в обращении.
  • Вторая — динамичный показатель, который учитывает движение в уравнении.

Если вы не ходлер и не готовы терпеть четырехлетние медвежьи рынки, то всякий раз, когда MVRV достигает значения 3, — это, как правило, подходящее время для фиксации прибыли. (Эйпить нужно в случае, если MVRV упадет ниже 1).


Активность вымогательского ПО (ransomware) в 2016 году находилась на рекордно высоком уровне, и об ее спаде в первом квартале 2017-го говорить не приходится. Эту статью мы решили посвятить самым популярным и злобным зловредам-вымогателям, особенно отличившимся в 2016 году. Мы разберем их устройство, поведение, обход песочниц и UAC, а также механизмы самозащиты.

Вымогатель CryptXXX

Вымогатель CryptXXX был обнаружен в апреле 2016 года и быстро стал одним из самых активных семейств рансомвари. Почти четверть успешных атак CryptXXX приходится на жителей США, также пострадали пользователи из Японии, Германии и России.

Как и другие известные вымогатели, например Locky, CryptXXX уведомляет жертв о том, что их компьютер заражен, а файлы зашифрованы, создавая три файла-инструкции разных типов — de_crypt_readme.txt , de_crypt_readme.bmp , de_crypt_readme.html .

Использование бинарных кодов Microsoft

CryptXXX — это файл .dll (библиотека динамической компоновки), разновидность совместно используемой библиотеки. Другими словами, эта библиотека содержит файлы, к которым могут обращаться несколько программ одновременно. Ни в одной операции CryptXXX нет самостоятельных процессов.

Все запускаемые зловредом исполняемые файлы — хорошо известные и подписанные Windows процессы. Это самый простой способ избежать песочниц и продвинутых инструментов защиты от угроз. Его применение говорит о том, что разработчики вредоносного ПО снова адаптировались к окружающей среде.

Рис. 1. CryptXXX — обнаружение сигнатуры SandBlast Agent

Рис. 1. CryptXXX — обнаружение сигнатуры SandBlast Agent

CryptXXX dll использует процесс rundll32 — исполняемый файл Windows. Запуск в командной строке предельно прост — rundll32.exe . Вызов имени библиотеки DLL происходит без вызова расширения .dll, что само по себе подозрительно. При этом имя функции выглядит несоответствующим. В реальности код зловреда запускается одновременно с загрузкой библиотеки DLL.

Более того, бинарный код rundll32.exe , подписанный Windows, копируется в другие локации под именем svchost.exe , а затем запускается с помощью той же команды, что и rundll32.exe ранее.

Рис. 2. Запуск svchost

Рис. 2. Запуск svchost

Этот способ гениален в своей простоте: инструменты вроде диспетчера задач или приложения Process Explorer будут отображать название вредоносного процесса как svchost.exe — среди множества других процессов с таким же именем.

Рис. 3. Как CryptXXX выглядит в диспетчере задач

Рис. 3. Как CryptXXX выглядит в диспетчере задач

Если мы посмотрим на свойства процесса, он будет выглядеть как исполняемый файл, подписанный Microsoft, — вот только эта подпись предназначена совсем для другого файла. Использования известных сигнатур и известных учетных записей пользователей для симуляции известных процессов будет достаточно, чтобы обмануть автоматические инструменты.

Однако некоторые отличия могут вызвать подозрения:

Обход песочниц

Библиотеки динамической компоновки (.dlls) не запускаются сами по себе. Для их запуска необходим исполняемый файл. Большинство песочниц не умеют делать такую проверку и потому не смогут обнаружить новые образцы вируса CryptXXX.

Хотя и этого уже достаточно, CryptXXX еще и не спешит. Зловред умеет откладывать свой запуск на долгий срок — больше чем на час. Такое выжидание поможет обойти большинство традиционных песочниц, которые работают только в течение нескольких минут и не возобновляют проверку после задержек.

Сетевая активность, которая во многих случаях используется для обнаружения и блокировки ключевых обменов данными, здесь сведена до самого минимума, до двух запросов к удаленным серверам. Один из них адресован на совершенно неизвестный IP, который находится где-то в Германии.

Вымогатель Tesla получил распространение в 2015 году и перенял множество моделей поведения от своего успешного предшественника CryptoWall, включая оформление окон с требованием выкупа, которые также используются в CryptXXX. Следующие типы поведения помогли поставщикам продуктов безопасности разработать защиту против вируса:

  1. Хранение шаблонов кода и кодов шифрования в виде исполняемого файла.
  2. Удаление теневой копии файлов.
  3. Использование командной строки для самоудаления.
  4. Самокопирование с другим именем.

CryptXXX не содержит ни один из этих признаков:

  1. У него нет исполняемых файлов.
  2. Он не удаляет теневые копии файлов через Vssadmin или WMIC.
  3. Он не удаляет сам себя.

Постоянная эволюция

CryptXXX кажется похожим на TeslaCrypt, но этот зловред, очевидно, учел ошибки предшественника. Хотя шифрование файлов некоторыми его версиями удалось повернуть вспять, авторы вредоносного ПО не собираются сдаваться. Судя по различным образцам кода, вымогатель продолжает развиваться, и мы еще не раз встретимся с ним.

Вымогатель Locky

Уникальность Locky заключается в масштабах его распространения. За две недели после обнаружения аналитики Check Point выявили более 100 тысяч журнальных записей, свидетельствующих о попытке заразить компьютеры их клиентов более чем в 100 странах по всему миру. В сочетании с тем, что Locky имеет функцию шифрования сетевых ресурсов, последствия атаки этого зловреда могут быть разрушительными.

Вирус Locky был впервые обнаружен 16 февраля 2016 года, когда, по данным аналитиков Check Point, произошла вспышка атак с его применением — более 50 тысяч попыток в день.

В сентябре прошлого года, по данным отчета Check Point Threat Index, вымогательский зловред Locky впервые вошел в тройку самых опасных и популярных вредоносных программ в мире.

Большинство жертв вируса Locky проживают в США. Следующие в списке стран по числу пострадавших — Канада и Франция.

Locky шифрует файлы жертвы, а затем требует выкуп в биткойнах за их расшифровку. Главный способ заражения — электронные письма с вложенным документом Word, содержащим вредоносный макрос. Макрос запускает скрипт, который скачивает исполняемый файл, устанавливает его на компьютер пользователя, сканирует файлы системы и зашифровывает их.

Также Locky распознает и собирает информацию на машине жертвы. Например, собираются следующие данные:

  • является ли зараженная машина частью корпоративной сети;
  • сервер это или рабочая станция;
  • язык интерфейса пользователя ОС;
  • версия ОС;
  • статистика по каждому зашифрованному диску: число зашифрованных файлов, число неудачных попыток шифрования, объем зашифрованных исходных данных.

На сегодняшний день Locky по-прежнему распространяется среди ни в чем не повинных пользователей по электронной почте. Его инфраструктура развивается и поддерживается.

Атака вируса часто начинается с письма, к которому приложен счет. Отправитель представляется сотрудником известной компании. В примере ниже письмо как будто бы пришло от Praxair Inc.

Рис. 9. Оригинал письма, полученного сотрудниками Check Point

Рис. 9. Оригинал письма, полученного сотрудниками Check Point

Несколько сотрудников Check Point получили похожие электронные письма. Check Point SandBlast обнаружил и нейтрализовал вложение:

Рис. 10. Check Point SandBlast

Рис. 11. Check Point SandBlast

Вложение содержит макрос, запуск которого пользователь должен разрешить вручную (как правило, иначе текст документа был нечитабелен):

Рис. 12. Макрос

Рис. 12. Макрос

Разрешение макроса запускает скачивание вредоносного ПО, которое распознается как вымогатель Locky.

Рис. 13. Скачивание трафика, зафиксированное Wireshark

Рис. 13. Скачивание трафика, зафиксированное Wireshark

На сегодняшний день мы выявили более десяти различных вариантов загрузчика Locky.

Каждый вариант имеет свой собственный способ обхода обнаружения, некоторые из них используют разные типы файлов: .doc, .docm, .xls и .js.

Рис. 14. Примеры электронных писем

Рис. 14. Примеры электронных писем

Рис. 15. Путь письма

Рис. 15. Путь письма

Загрузчики

По сравнению с более ранними вымогательскими кампаниями технология обфускации (маскировка кода), применяемая в загрузчиках Locky, совсем не сложная — скорее наоборот. Некоторые примеры содержали один массив со строкой загрузки URL, зашифрованной в виде списка числовых значений (пример будет ниже). В других в качестве метода маскировки кода использовался обычный пропуск символов с помощью JavaScript. Мы проанализировали имеющиеся образцы кода по тому, какое расширение файла они используют:

Рис. 16. Расширение файлов

Рис. 16. Расширение файлов

Давай рассмотрим конкретный пример работы загрузчика Locky (MD5: 45B849E00131B4434D488295CB48B36C). Если открыть файл в VBA-редакторе (команда Alt + F11 в Word), можно увидеть замаскированную макрокоманду:

Рис. 17. Замаскированная макрокоманда

Рис. 17. Замаскированная макрокоманда

Рис. 18. Расшифрованный URL

Рис. 18. Расшифрованный URL

Чтобы вручную размаскировать массив KogdaGe_7, нам просто необходимо уменьшить значение каждого его элемента на 142 (99 + 43), а затем представить его в виде соответствующего этому значению символа ASCII (2). Пример:

Ссылки для загрузки вредоносного элемента (payload)

Мы обнаружили достаточное количество URL, на которых размещаются вредоносы. Большинство этих хостов — зараженные русские сайты. Некоторые из них уже не существуют. Среди найденных нами шаблонов:

Рис. 19. Незамаскированный код

Рис. 19. Незамаскированный код

Шифрование сетевого трафика с серверов C2 с помощью Locky

Рис. 21. Криптоалгоритмы сетевого трафика Locky

Рис. 21. Криптоалгоритмы сетевого трафика Locky

Locky может зашифровать ваши файлы, только если его C2-сервер активен. Теневые копии файлов не могут использоваться в качестве резервных — Locky их удаляет. Все подключенные диски будут зашифрованы, в том числе любые общие сетевые диски и съемные носители.

Не инновационный, но крайне эффективный

Locky не привносит никаких новшеств в сферу программ-вымогателей, но он эффективен — как в создании огромных объемов вредоносного спама, так и в шифровании сетевых дисков. Дважды подумай, прежде чем разрешить макрос, — это действие может заблокировать все общие корпоративные диски.

Вымогатель Cerber

Вымогатель Cerber имеет сложный процесс внедрения и использует в своих атаках очень интересную тактику. Он действует всплесками, между которыми наблюдаются периоды относительно низкой активности. Мы обнаружили два таких пика активности Cerber — первый был в апреле, второй — в мае 2016 года. Каждый из всплесков собрал значительное число жертв, как показано на графике ниже:

Рис. 22. Количество атак Cerber

Рис. 22. Количество атак Cerber

Жертвами Cerber стало множество пользователей, главным образом из США, Турции и Великобритании. Подобно Locky, Cerber распространяется через фишинговые письма с вредоносными вложениями. Как только пользователь открывает вложение, он подвергается атаке с применением методов социальной инженерии — его пытаются убедить в необходимости активировать встроенную в файл макрокоманду, которая запускает вирус.

Классическое поведение

Cerber демонстрирует классическое поведение программы-вымогателя. Зловред создает свои копии в различных локациях и обращается к ним с различными параметрами. Атака запускается при помощи бинарных кодов Windows без всяких параметров. Это достигается за счет внедрения кода (code injection) в explorer.exe и вызова следующих приложений Windows:

  • adaptertroubleshooter.exe;
  • bthudtask.exe — задание по деинсталляции устройства Bluetooth, которое часто запускается вымогателями.

Затем Cerber использует другую распространенную тактику — загружает файл DLL. После того как процесс шифрования запущен, Cerber удаляет теневые копии для предотвращения восстановления файлов. Кроме того, вирус вносит изменения в процесс загрузки, чтобы лишить пользователя любой возможности восстановить свои файлы. Файлы шифруются с помощью алгоритмов AES-265 и RSA, которые на сегодняшний день невозможно взломать.

Вся схема работы вируса Cerber, выявленная инструментом для отчета о проведенной экспертизе SandBlast Agent, представлена ниже.

Рис. 23. Cerber Execution Tree

Рис. 23. Cerber Execution Tree

В июне прошлого года компания Avanan опубликовала пост о возможности заражения вымогателем Cerber через файл Microsoft Office с расширением .dotm. Как объяснили специалисты Avanan в своем блоге, атака производилась через файл dotm, который был разослан множеству пользователей в фишинговом электронном письме. Файл dotm — это шаблон документа Microsoft Word, в котором разрешено использование макроса. Этот тип файла был впервые внедрен в Office 2007. Он использует формат OpenXML и ZIP-сжатие. Далее приведено краткое содержание отчета о проведенной экспертизе вредоносного ПО.

Рис. 24. Дерево инцидента

Рис. 24. Дерево инцидента

Отчет о проведенной экспертизе вредоносного ПО

Рис. 25. Макрос вызывает выполнение cmd.exe

Рис. 25. Макрос вызывает выполнение cmd.exe

Рис. 26. Создание файла tmp с помощью wscript

Рис. 26. Создание файла tmp с помощью wscript

Затем командная строка запускает команду wscript ( wscript.exe PID: 1432 ) с созданным VBS-файлом ( 28156.vbs ), который, в свою очередь, скачивает первый вредоносный файл вируса-вымогателя Cerber (272730.tmp), обращаясь к следующим сайтам:

  • Solidaritedeproximite[.]org/mhtr.jpg;
  • 92.222.104[.]182/mhtr.jpg.

После создания 272730.tmp этот файл запускается с помощью еще одной командной строки с PID 3068 — так начинается заражение компьютера вирусом Cerber. Запуск файла с расширением tmp в виде процесса считается очень подозрительным действием (272730.tmp PIDs: 128 и 2152) и помечается системой как подозрительное событие: Unusual Process Extension (необычное расширение процесса).

Рис. 27. Создание копии и удаление оригинала tmp

Рис. 27. Создание копии и удаление оригинала tmp

Процесс 272730.tmp с PID 128 затем запускает собственную копию с PID 2152. Процесс с PID 2152 затем создает еще одну копию файла с собой в папке appdata под именем raserver.exe . Это отмечается в качестве подозрительного события Executable Copies (исполняемые копии). Затем вирус запускает процесс raserver.exe с PID 1432. Следующий шаг — запуск командной строки с PID 2592 для удаления оригинального файла 272730.tmp . Эта задача решается вызовом taskkill.exe для остановки процесса 272730.tmp и последующего вызова команды ping, позволяющей подождать определенное время до остановки процесса с тем, чтобы файл можно было удалить. Точно так же все эти события отмечаются как подозрительные в схеме ниже:

Рис. 28. UAC Bypass Attempts

Рис. 28. UAC Bypass Attempts

Обход UAC

В блоге MalwareBytes, в статье Cerber Ransomware — New, But Mature исследователи подробно рассказывают о том, как Cerber пытался обойти систему контроля доступа пользователей (User Access Control, UAC), чтобы поднять уровень привилегий процессов, занятых в атаке. В частности, они показывают, как Cerber пробует запустить свою копию в проводнике Windows, а затем внедряет в эту копию код, который позволит ему использовать процессы операционной системы Microsoft Windows, чтобы обойти UAC.

Рис. 30. Data Ransom, Shadow Copy Deletion, Boot Tampering и так далее

Рис. 30. Data Ransom, Shadow Copy Deletion, Boot Tampering и так далее

На рис. 30 показан процесс raserver.exe с PID 2540, запущенный с повышенными привилегиями и создающий свою копию с PID 4688. Именно процесс с PID 4688 шифрует все документы пользователя. Кроме того, этот процесс также пытается произвести удаление теневых копий (обычная тактика вирусов-вымогателей) через vssadmin.exe и wmic.exe . Наконец, зловред пытается внести изменения в загрузочные файлы с помощью службы bcdedit.exe .

Рис. 31. Требование выкупа сохраняется как фон рабочего стола

Рис. 31. Требование выкупа сохраняется как фон рабочего стола

Продолжение следует

Заключение

К сожалению, сегодня нет предпосылок для того, чтобы опасный тренд развития ransomware начал терять актуальность. Скорее наоборот: рост активности вымогательского ПО — одно из самых уверенных предсказаний на 2017 год.

Разрабатывал он меня, высылал отчёты о успешных торгах. Я проверил на текущий день данные по монетам, на которых он поднял за последние 24 часа %. На самом деле некоторые монеты уже не существуют, а некоторые стоят не так и по графикам статистики видно, что Кирилл ничего не мог поднять, никакие 150-250%. Когда я ему отправил вопросы и и скрины данных, он их удалил, удалил фотографию с профиля и замолчал. )))
Группа в telegram cryptotrade, типа менеджер @westonq. СКАМ, АФЕРИСТ 100%
согласен

Комментарии к отзыву

Мошенник -

в Телеграмм-канале орудует мошенник Sergy CryptoMania. мошенник предлагает заработать на крипто-валюте. канал с 9 тыс подписчиками и видео-отзывами ,где называют его имя и благодарят. не ведитесь! как только переводишь ему даже минимальную сумму на карту, тут же удаляет вас и с канала, и личную переписку. МОШЕННИК.

У нас проблемы,заблокировал в телеграмм,как получил вчера деньги,в понедельник пойдём в прокуратуру, предоставим квитанции кому отправляли

Перешел по ссылке от вроде серьезного телеграмм-канала с 78 тысячами подписчиков. Задал вопросы, вроде всё понятно, закинул взнос. Через сутки сказали, что надо выводить прибыль и ещё нужно 30% от прибыли перевести. На вопросы, почему это нигде не указано и с просьбой вернуть взнос удалили переписку и вывели из чата. Странно, что данный отзыв увидел только после.


8 сентября, 2021 год

Новый Лавровский Финико в Инстаграмме. Фин.пирамиды расцветают !

Пострадали уже тысячи людей !

Со мной ситуация один в один произошла. Чат заблокирован, как и канал, после неудобных вопросов. Денег нет. А реклама о "Кирилле Валентиновиче, действующем криптоинвесторе. " гуляет по другим телеграм-каналам. Ещё дураков собирает.

Мошенник -

Кстати, в возбуждении уголовного дела отказали, т.к. нет состава преступления.

Благодарю за Ваш отзыв.

Чуть не вляпался к этим людям.

Также повёлся на замануху рекламы в телеграм.

Не ведитесь на мошенника @DmitriyCryptoTrade. Пишет мин сумма 3000, перечисляешь эту сумму, затем просит ещё 6000 скинуть якобы кредитное плечо, писал не фейку

Спасибо за отзыв. Как раз сейчас переписываюсь с данным мошенником) Обещал через 2 часа написать, так как встреча сейчас с крупным инвестором)) Наверное баланду принесли в хату))

Вот канал со статистикой tg://join?invite=AAAAAEgIpM4ycklGqboQtw

Он рассказал, что торговля происходит на моём аккаунте биржи Bittrex, и первые 14 дней теста бесплатно, далее 290$/мес, но минимальный депозит 0,1 BTC, т.к. используется стратегия пирамидинга (многократного добора позиции) и это минимальный депозит для работы робота. Вроде всё логично.

Я подключил API, причём закрыл доступ на вывод средств. Отправил им ключи. Ответили что подключать робота CryptoTrade в течении 2-3 часов.

Я заходил, обновлял аккаунт в ожидании начала торговли. И вот . торговля началась!

быстро, и только одной монетой. Они покупали-продавали монету USDT-KDAG и в течении 4 минут слили весь депозит 0.1 BTC.

Я усердно искал отзывы о CryptoTrade , и, к сожалению, негативных не нашёл.

Очень надеюсь, что этот мой опыт будет найден теми, кто ещё не вложился туда, но собирается. Ребята, будьте осторожны и внимательны! Пользуйтесь только проверенными сервисами, куда уже заходили те, кому вы можете доверять.

Благодарю, что поделился. Дай бог тебе здоровья и благополучия. Тоже планировал, но после кидков в реальной жизни, онлайн проверяю досконально и вот на твой отзыв наткнулся, а ведь фомо толкало бабки залить))))

Здравствуйте! Тоже искал отзывы об этом проекте, и не находил, что странно с такой доходностью. Уже собирался пополнять биржу, но нашёл Ваш отзыв. Спасибо большое за предупреждение. Конечно, их менеджер ведёт себя подозрительно, до последнего не говорит минимальную сумму к пополнению и видео какие-то куцые, но всё это меркнет перед их якобы доходностью. Наверное, уже всем пора понять, что не бывает без обмана таких прибылей. А то в нас всё живет Буратино. Спасибо, ещё раз. Пусть дальше у Вас будет только хорошее. Только не могу понять, как они зарабатывают, на этих сливах, но это не очень важно.

А почему этот канал с почти 10к подписчиков не закрыли? Я слежу за каналом, за их статистикой. Думаю, ну если будут обманутые люди, то наверняка пожалуюсь на канал и его забанят. А вот и нет оказывается, люди по форумам отзывы оставляют. Вы не нажимаете пожаловаться на канал, что там мошенник.

Давайте коллективно действовать. нельзя же так оставлять. напишите мне в телеграмм, пож-та. @zaburdaev_m

Я нажимала что мошенники. Отзыв отправлялся на проверку модераторам. Я думаю что они и есть там сами модераторы. Потому что невозможно столько людей обманывать. Какнал давно закрыли бы. И да я тоже попалась на эту уловку и потеряла деньги.

Денис, я же 08 мая написал свой отзыв о такой же потере 0,1 битка((( до сих пор жалею. Давайте обсудим в телеграмме ситуацию. @zaburdaev_m

Люди, это МОШЕННИК.

Повелся я на рассказ о его чудо-боте. Ведь знал же, что не бывает такого. В итого перевел 0,1 битка на биттрекс, предоставил ему ключи апи и на следующий день мой депозит из 6700$ превратился в 117$. Напродавал он мне говнотокенов xSigma, которые в мае 2021 только залистили. Божечки, как я, мог повестись на такие сладкие обещания(((

Пусть в аду он горит, мошенник @cryptotrade_manager1.

Люди не ведитесь.

Люди , будьте внимательны . А именно кто подписан на канал Crypto World ( ранее Crypto Trade), ни в коем случае не переводите деньги . В аккаунте Westonq сидит мошенник!! Который скрывается под разными именами : Кирилл Аксёнов, Вадим Баранов , Алексей Лебедев . Не переводите ни единой копейки , вам не вернут ничего . Будьте бдительны .

Сейчас же очень много фейков, которые работают под их именем. На самом деле он Кирилл. Работаю с ним очень давно, удивляюсь таким отзывам.

Да меня тоже развёл этот Кирилл, депозиты вносила, а вывести не смог, сказал система блокирует мою ячейку. Не попадайтесь к этому мошеннику.

Никита Иванов


Матвей Савиных

Дмитро Думанський

TrueCrypto запись закреплена

Да, курс монеты значительно упал, но по прежнему удаётся фармить 40 монет BCOIN примерно за 6 дней и на выходе с этого получается $100

Напоминаю, что это доход пассивный и всю работу полностью делает бот. По итогу получаем сейчас 1250 рублей пассивной прибыли в день с одного аккаунта, а потраченные средства окуплены уже давно
Показать полностью.

Скажу честно, даже я не ожидал что такие простенькие Play 2 Earn проекты могут жить так долго и давать хорошую пассивную прибыль.
Игра эта живёт кстати уже 3.5 месяца и те кто входил в игру в самом начале, мог уже окупить все свои вложения в 15-20 раз как минимум!

И да, токен игры уже падал до $1.8, но разработчики постоянно вводят какие-то новые апдейты и на фоне этих апдейтах цена монеты снова немного отскочила вверх и сейчас торгуется уже по $2.5

Сергей Любинецкий

Актуально ли еще туда заходить? знающие люди, ответьте, пожалуйста, или подскажите, в какую nft игру можно зайти.

Никита Карасёв

Да, с ботом полный пассив получается. Тоже давно в проекте. Ботом тем же пользуюсь, что и ТруДед. С разовой оплатой, а не процент от прибыли.

TrueCrypto запись закреплена

За несколько часов отсутствия интернета в Казахстане из-за протестов протестов хешрейт биткоина упал на 12%. На страну приходится 18,1% хешрейта биткоина.

На фоне этого и других негативных новостей цена биткоина обвалилась на пике до $42.000

Альткоины так же обвалились и сейчас довольно вкусные цены для закупа, я лично пошел усреднять закупочные цены:)


슬퍼하는 자살적인

Георгий Сергеев


Георгий Сергеев

Лес Гроссман


Лес Гроссман

TrueCrypto запись закреплена
TrueCrypto запись закреплена

Теперь всё будет работать по системе билетов. Чем больше BNB вы будете холдить для сейла - тем больше билетов сможете получить (максимальное количество билетов на 1 аккаунт в разных сейлах будет меняться)

Дальше все билеты попадают в общий пул в котором случайным образом выбираются победители
Показать полностью.

Ботоводы всплакнут, но для обычных пользователей это хороший шанс урвать годные мистери-боксы

Александр Анкудинов


Александр Анкудинов

TrueCrypto запись закреплена

Если вам интересен пассивный заработок на P2E играх, то на данный момент в наличии имеются:

BlockchainRPG Стоимость: 90$. Сайт: blockchainrpg.io

SpaceHeroes! Стоимость: 75$. Сайт: spaceheroes.world

Farmers World Стоимость: 90$. Сайт: farmersworld.io

NFT Panda Стоимость: 50$. Сайт: nftpanda.space

Так же создаём индивидуальных ботов на заказ!
Количество ботов будет постепенно пополнятся

Наши боты полностью автоматизируют заработок на различных
Play2Earn играх, что позволяет вам получать пассивный доход. Так же занимаемся..

Роман Безбородько


Роман Безбородько

😎

круто

TrueCrypto запись закреплена

Рынок уходит в ещё более глубокую коррекцию и на фоне этого
появляется всё больше различных прогнозов и вот мои мысли по этому поводу

Каждый день мы с вами в новостных пабликах, на ютуб каналах различных аналитиков видим прогнозы и часто они абсолютно диаметральны в своём мнении.
Показать полностью. Кто-то прогнозировал биткоин по $150.000 до конца года, а кто-то говорил, что он опустится до $10.000, но я лично никогда не полагаюсь на подобные прогнозы, где пытаются уловить какую-то взаимосвязь на графиках, нарисовать будущее и утверждают, что им всё известно.

Точную цену предсказать не может никто, если у кого-то иногда это получается чаще других - это взаимосвязь опыта и фактора удачи, но я лично предпочитаю не делать прогнозы, а верить в продукт

Допустим, если я понимаю, что криптовалюта многое уже сейчас меняет в нашем мире и она будет играть значительную роль в жизни каждого человека - я в неё инвестирую

А дальше иду уже более углублённо и внимательно анализирую каждую монету, её функционал, людей и компании, который за ней стоят.
Если я верю в эту монету и её применимость в реальной жизни - я просто докупаю её на каждой просадки и продаю лесенкой, когда монета показывает резкий рост

Чем шире спектр возможности монеты и чем больше она предположительно в долгосрочной перспективе будет влиять на нашу с вами жизнь - тем дольше я буду эту монету держать в своём инвестиционном портфеле

Приведу конкретный пример:

Я считаю что у метавселенной огромное будущее, но 99% проектов сейчас всё ещё очень сырые и дают иксы только за счёт того, что вариантов лучше пока нет и они первопроходцы на рынке. Но я уверен, что придут гиганты, сожрут эти проекты и цена этих монет очень сильно упадёт.

Поэтому если я делаю на проекте по типу Decentraland, MyNeighborAlice, Axie Infinity +200-300% - я просто начинаю потихоньку из этих вложений лесенкой выходить и фиксировать прибыль, ибо я лично не верю в долгосрочный рост этих игр на фоне того, что рано или поздно на рынок придут крупнейшие игровые компании

А вот в применении технологии токена Mina я например верю в более долгосрочной перспективе и буду просто из части свободных денег на всех возможных просадках докупать эту монету в свой портфель

Думаю суть вы моей рекомендации поняли.

Главное в инвестиции - это вера в продукт, в который ты инвестируешь.
Причём вера должна быть не слепая, а вы должны знать как можно больше информации о продукте, в который вы вкладываете деньги

matador

Наукой доказано что вредные привычки такие как алкоголизм, наркомания или курение сигарет негативно сказывается на центральной нервной системе. Она же в свою очередь влияет на принятые вами решения в трейдинга и в других сферах.

Думаю станет намного удобнее просто ждать. Когда дело доходит до покупки или продажи крупной суммы, приходится ждать. Johnny I стал официальным лицом криптовалюты во многих странах. Да, работает не очень. Он уже предлагает много возможностей для извлечения выгоды.

Efferalgan

Дом матери это не дет дом. Это круче. Я бы вам скинул ролик в котором рассказывали про это. После родов матерям оказывается поддержка, в том числе психологическая, помогают обрести навыки удалённой работы, вообще это не для этого форума обсуждение, я просто верю, что крипта мне поможет.

Нет конечно, одно другого не отменяет, все возможные средства защиты должны быть задействованы, ничем нельзя пренебрегать. Сама по себе двухфакторка штука неплохая, и ломать непосредственно ее как правило смысла нет. Но и не все так радужно. Если человек попадает на сайт прокладку, или как ее называют атака посредине, то человек собственноручно вводит и пароль и код двухфакторки на валидном ресурсе с участием этой самой прокладки. То есть сам, собственноручно открывает злоумышленнику доступ.

TheStrayAngel

У меня такое же мнение . Но согласитесь , ведь люди разные бывают . К примеру бабушка моей супруги всю жизнь прожила в жёсткой экономии в однокомнатной квартире и никоим образом не помогала тёще моей (своей дочери ) после того как та вышла замуж . А после смерти когда разбирали её вещи то нашли сберкнижки ещё советского союза на общую сумму в 30 с копейками тысяч рублей , коллекцию редких книг ещё на старорусском языке о которых никто ни сном ни духом не знал . Вот для чего и для кого она это собирала и молчала ? ))) Хотя по жизни милейшей души человек была , я знал её в течении 15 лет и считал её образцом бабушки и пробабушки , так скажем бабушкиным идеалом )))) Морально и физически она отдавала всю себя родным , а вот матерьяльные ценности ни ни .

ALAN1998

Когда то была книга с таким вожделенным для всех названием( сам я не читал , содержания я ее не знаю но по названию можно судить что описываются возможности человека )- "Сделай себя сам". Думаю что присуща Маску особая сила интуиции. даже в подборе кадров, сделала его тем кто он есть сейчас. Только пока в криптомире он не нашел такие кадры, хотя и вышел на эту дорогу.Определился с направлением. Биткоин и Доги слишком полярны. Почему именно на них сделал ставку Маск?

Buglemen

Есть действительно людоманы в этом плане. У меня друг такой азартный. Хлебом не корми, а дай хоть в казиношку шикануться. Причем может часами зависать хоть онлайн, хоть в реальной. Им похоже нравится атмосфера, сам процесс. Красиво - жить не запретишь. Но - это все равно иллюзия. Брать кредит, чтобы просто пожить на широкую ногу час, два. Сущая глупость. После жалеть о своем сливе. И вновь все по кругу идти на поводу системы казино.

Удается, только вопрос еще такой, какую сумму вы до этого слили? Проиграть больше, а потом отыграть даже 99 процентов проигрынного это не выигрыш, а все равно проигрыш. Многих кстати это и затягивает, пытаются отыграться и еще больше проигрывают.

На каждом можно заработать, достаточно знать сигналы и уметь их правильно определять. Если же инвестировать на долгосрок, то чаще всего используется только бычий рынок, только вверх принято входить долгосрочному инвестору.

Ну, некоторые из тех, кому оно, вроде бы, и не надо, но запрашивают, без этого самого разрешения работать отказываются. На прошлой неделе искал нормальный шагомер и почти все запрашивали. Кстати, так и не нашел. Либо у них проблемы, либо у моего телефона, но, в конечном итоге, у меня.

Читайте также: