несанкционированный перевод криптовалюты из кошелька
Две недели назад столкнулся со странным действием в кошельке MetaMask, перевод выполненный мне тут же отправлялся на другой адрес всей полученной суммой. Я это списал на неблагонадежность браузерного расширения и возможно невнимательным прочтением подписываемого разрешения. Через некоторое время мне поступил перевод на десктопный кошелек (об этой транзакции я получил сообщение по электронной почте). После того как я проверил кошелек я обнаружил такой же сценарий - сразу после зачисления перевода, вся сумма была отправлена по неизвестному мне адресу. Кошелек не включался, ключей и seed фразы никому не сообщал. После проверки компьютера антивирусными программами (Windows Defender, Malwarebytes) никаких подозрительных программ и файлов не обнаружил (кроме тех о которых я знаю, что это такое - keygen-ы, patch-енные экзешники, майнерские программы и программы очистки реестра, они у меня стоят давно и никаких эксцессов от них не было) В AppData обнаружил папку о которой я не знаю от чего она и её функционал - "Sentry" она установлена не мной и дата установки очень близка к событиям с кошельками. Погуглив о назначении этой программы "Сервис Sentry позволяет удаленно мониторить баги в фронтенд-приложениях, написанных на JavaScript" То есть вроде бы это и не зловред которого могут обнаружить антивирусы, НО я её не устанавливал точно ( мне она не нужна) и удалённый мониторинг java приложений (крипто кошельки и являются java приложениями) на моём компьютере совсем мне не нужен. Поэтому я обращаюсь к специалистам чтобы мне объяснили и помогли решить эту проблему. Кто может отправить из кошелька к которому нет доступа ни у кого кроме меня, автоматический перевод средств мгновенно после получения их.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Гоша_Тумукщм, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Я поиском нашел следы SENTRY ещё в в других каталогах
- - - - -Добавлено - - - - -
Сообщение от Vvvyg
Папка Sentry присутствует до сих пор на компьютере?
Проблема проявляется, когда определённый браузер запущен, или неважно?
сюдя по результатам поиска sentry присутствует и в chromе и в edge. В Brave нету..
- - - - -Добавлено - - - - -
лог uVS
- - - - -Добавлено - - - - -
по ссылке поиска зашел в папку C:\Users\idlej\AppData\Local\0install.net\implemen tations в которой расположены такие папки.. полистал это папки приложения DeepL (переводчик как заявляется) поэтому следы его и есть в браузерах, установлено расширение Deepl/ решил удалить все эти хвосты. Хотя может и не от него ущерб, но когда его не было у меня ничего не пропадало никогда, да еще таким изощрённым способом. Да что интересно - есть файл txt с инструкцией по удалению этого чудесного переводчика почему то через командную строку... с такой командой icacls C:\Users\idlej\AppData\Local\0install.net\implemen tations /t /q /c /reset; rm -Recurse C:\Users\idlej\AppData\Local\0install.net\implemen tations если приложение поставлено, то его можно удалить через "удаление программ" а вовсе не таким странным способом
ну приложение Deepl я удалю. А где следы переводчика монет с моего кошельков? Никакие сканирования ничего не выявили.. ? надо попробовать еще раз отправить монеты, чтобы остались следы неконтролируемых активностей?
В Brave есть расширение Crypto Wallets, установленное, или обновлённое ровно в тот день, когда был установлен переводчик, уверены в нём.
Я бы рекомендовал переустановить расширения, почистить куки/кэши браузеров, потом уже пробовать.
В Brave есть расширение Crypto Wallets, установленное, или обновлённое ровно в тот день, когда был установлен переводчик, уверены в нём.
Я бы рекомендовал переустановить расширения, почистить куки/кэши браузеров, потом уже пробовать.
так то их внутренний кошелек, для зачисления за просмотр рекламы.. я им не пользовался. А установил возможно в один день с переводчиком. Но я же объяснил что не только metamask в chrome перевел монеты пришедшие, но не связанный с metamask десктопный кошелек с другой фразой и через значительный промежуток времени совершил ровно такое же действие ( перевел поступившие монеты ) значит дело не браузере.
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
ну допустим не понятно какой скрипт делает эти переводы, а вообще как это возможно настроить в кошельке автоматический перевод при зачислении? я понимаю когда на сайте есть доступ по API и любой имеющий ключ получает управление, но откуда может быть доступ к кошельку и как отслеживаются поступления, причём разных монет и в разные кошельки.
Я, к сожалению, про крипту и инструменты работы с ней знаю только, что они есть ( Поэтому толком не могу ничего посоветовать. Разные кошельки - доступ к ним через браузер, или отдельную программу?
С телефона этим добром управляете?
Я, к сожалению, про крипту и инструменты работы с ней знаю только, что они есть ( Поэтому толком не могу ничего посоветовать. Разные кошельки - доступ к ним через браузер, или отдельную программу?
С телефона этим добром управляете?
кошелек это отдельное приложение и к браузеру он не имеет привязки. Есть кошельки сделанные как расширение браузера и возможно там и есть какие -то утечки. Первый увод денег был как раз с браузерного кошелька (поэтому я и подумал о том что есть связь с установленным макросом в браузере, поэтому удалил скомпрометированное расширение) НО с десктопного отдельного приложения я никогда не слышал о возможности хищения, кроме если ты сам ошибешься адресом отправки или произойдет подмена адреса вирусом Trojan.Coinbitclip который как раз перехватывает содержимое буфера обмена, заменяя нужный адрес на адрес злоумышленика. НО это всё происходит при участии пользователя. Так же если была украдена фраза восстановления кошелька, его можно установить на другом компьютере или телефоне с полностью идентичным балансом и оттуда уже вывести средства.
запустил covert ни одного красного процесса не увидел, все желтые известные и никаких подозрительных в них не видно. Пробовал мониторить перехват буфера, как дано в описании никаких следов вмешательства посторонних процессов. CureIt нашел roboot.exe в не стандартном месте и измененный host/ исправил это. На этом получается всё?
Последний раз редактировалось Гоша_Тумукщм; 15.03.2023 в 22:02.
Ответить с цитированием
Сообщение от Vvvyg
