Утекла база e-mail и паролей Яндекс почты, а меня уже задолбал ulbloqmeed.vbs

Сегодня во всем рунете слышны вскрики по поводу утекшей в интернет базы е-мэйлов и паролей к ним с почты Яндекса. Даже более того — не просто почты Яндекса, а всех их сервисов, включая метрику, деньги, и т.д., поскольку логин и пароль на все это добро — единый. Все уже скачали и проверили, были ли вы в ней? (Upd. полную версию оттуда уже убрали, но зато она появилась на трекерах) Ссылку на то, где скачать, привожу потому, что Яндекс уже сбросил пароли у всех скомпрометированных адресов. Более того — поступили официальные заявления, что большая часть адресов в ней (85%) — созданы ботами, или давно заброшены, поэтому даже использовать ее как спам-базу не получится.

Но тем не менее. Разумеется, первым делом я проверил наличие в ней всех адресов, так или иначе связанных со мною.

Меня, как ни странно, там не оказалось. На самом деле, это история не новая, аккаунты взламываются и подобные базы размещаются постоянно. Но история эта, напомнила мне события полуторагодовалой давности, когда были взломаны мои Яндекс.Деньги. Как я уже говорил, пароль на вход в яндекс-деньги, и на вход в почту — один и тот же. На мое счастье — яндекс использует еще и платежный пароль, поэтому снять с этого счета злоумышленникам тогда ничего не удалось. Правда, остался вопрос — как удалось взломать только вход в сервис, без платежного пароля? Если бы это был троян — взломали бы и то, и то. И явно ломали не перебором — шестнадцатисимвольный пароль с буквами в разном регистре, цифрами и знаками практически невзламываемый. Вопрос до сих пор остается без ответа.

В общем, у меня очень сильные подозрения, что представленная и опубликованная седьмого числа этого месяца база (хотя сейчас поступает информация, что она была опубликована еще 15-го августа) — всего лишь часть того, что было взломано. И хотя и так размах в более, чем миллион адресов поражает — но судя по самому себе, все может быть гораздо хуже.

Кстати, в выложенной базе (ну, или части, как я предположил) — в основном встречаются довольно простые пароли. Вот, кстати, топ-200 паролей из этой базы. И qwerty, как ни удивительно — всего лишь на 4-м месте с его 7681 использованием, всего-навсего около шести десятых процента. Я думал, будет под процент-два. Но нет, оказалось, что 3% — это у 123456.

Ну и конечно, поражает огромное количество русских слов, набранных английскими буквами, например 501 раз у ghbdtn. И я уж не знаю, кого считать более блондинками — 306 Анастасий с их fyfcnfcbz, или 295 Марин, которые даже не парились набирать русское имя в английской раскладке, а так и написали — marina. Очень, кстати, сочетается с зарубежной статистикой, например, по утекшим паролям для hotmail, в котором самым популярным женским именем, используемым в качестве пароля, оказалось alejandra. В общем, материал для анализа — преинтереснейший. Особенно с учетом количества программ, которые позволяют эти пароли подбирать. Так и хочется сказать — будьте бдительны. Фраза «Яндекс — найдется все» заиграла теперь новыми красками .

Ну, и в связи с этим — не могу не упомянуть о том, что меня уже задолбал вирус — троян под названием ulbloqmeed vbs. В принципе, гадость эта не слишком злобная, занимается тем, что превращает на флешке папки в ярлыки. Ну, в смысле, папки не шифруются (что было бы гораздо хуже), а просто становятся скрытыми, а вместо них — появляются ярлыки для них. Конечно, может он хочет еще и собирать какие-нибудь пароли — но поскольку так явно себя выдает, то естественно, убивается практически сразу. Появляется он у меня регулярно, как только я позволяю кому-нибудь вставить флешку в свой компьютер — уж больно популярная гадость. Подобных вирусов сейчас очень много, но механизм, как от них лечить — довольно прост. Основная сложность — то, что его не удалишь, пока в памяти висит его процесс, и то, что его копия может лежать в разных местах — в C:\users\Имя_пользователя\appdata\roaming\, в  C:\users\Имя_пользователя\AppData\Local\Temp\, в RECYCLER\. Итак, как лечу этот вирус я (на примере Windows 7).

Увидев, что у меня вместо папок — ярлыки:

1. Захожу в Total Commander, где в меню (Конфигурация->Настройка->Содержимое панелей) у меня уже по умолчанию стоит галочка в чекбоксе «Показывать скрытые/системные файлы.» Если не стоит — надо поставить.

2. Запускаю диспетчер задач, там нахожу процесс WSCRIPT.EXE, ну и естественно — тут же его убиваю (скриншот не мой, но не важно).

Сделать это надо обязательно, иначе вирус будет постоянно перезаписываться из памяти.

3. Дальше. Захожу в Тотал Коммандере на флешку, убиваю там файл ulbloqmeed.vbs (обычно в корневой папке). Если есть папка RECYCLER\ — наверняка какая-нубудь гадость есть и в ней.

4. Удаляю все ярлыки, т.е. папки с расширением .lnk. Главное тут — не удалить собственно все наши папки с информацией, т.е не перепутать их с их же ярлыками!

5. Все нужные папки, которые были сделаны скрытыми — выделяю, и делаю обратно видимыми, путем выбора в меню тотал коммандера  «Файлы->Изменить Атрибуты…», и в выпавшем окошке

убирая галочки со всех чек-боксов атрибутов.

6. После этого в том же самом Total Commander-e нажимаем Alt-F7, и ищем на диске C: по части из названия файла, например в случае  ulbloqmeed.vbs — достаточно по  ulbloq

7. После окончания поиска записываем пути к найденным файлам вируса, идем по ним (можно и просто вывести файлы на панель) и удаляем все эти файлы. Обычно они лежат в директориях

C:\users\Имя_пользователя\appdata\roaming\

C:\users\Имя_пользователя\AppData\Local\Temp\

C:\Users\ Имя_пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

8. Ну вот, осталось запустить regedit (пуск-выполнить или win+R, вводим regedit), заходим в

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

и

HKEY_USERS\какие-то номера\Software\Microsoft\Windows\CurrentVersion\Run

и удаляем оттуда запись в стиле

Run: [ulbloqmeed] wscript.exe //B «C:\Users\Имя_пользователя\AppData\Local\Temp\ulbloqmeed.vbs

Иными словами запись, ссылающуюся на запуск этого трояна, и содержащую в себе его имя.

Собственно все. Можно еще, на всякий случай, сделать поиск по всему реестру по имени файла, чтобы удалить и оттуда. Либо — вообще, в качестве 8-го пункта, вместо того, чтобы идти по указанным веткам реестра — сделать поиск.

Впрочем, как я уже сказал, этот вид вирусоу и троянов — не самое страшное. Максимум, что вас ожидает, если вы это не сделаете — что ваши е-мейлы и пароли обнаружатся в какой-нибудь очередной базе данных

Вот если запустите какое-нибудь файл, шифрующий ваши данные — все будет гораздо печальнее.

Upd. Не успел опубликовать — как очередная новость: 4.5 миллиона паролей от mail.ru тоже уже можно скачать на просторах в интернете. Правда, в большинстве своем там только ящики, и по количеству тех, к которым еще и пароли прикладываются, их меньше, чем на яндексе  (говорят, около восьмисот тысяч) — но тем не менее.

Upd.2 В интернете для mail.ru лежит две базы. В одной из них, которая выдается по всем поисковым запросам — действительно только около 800 тысяч, и начинаются они где-то со второго миллиона. Во второй, найти которую гораздо сложнее (еле нашел, пока выкладывать не буду) — присутствуют пароли ко всем, почти 4.7 миллионам аккаунтов. Охренеть.