Сегодня во всем рунете слышны вскрики по поводу утекшей в интернет базы е-мэйлов и паролей к ним с почты Яндекса. Даже более того — не просто почты Яндекса, а всех их сервисов, включая метрику, деньги, и т.д., поскольку логин и пароль на все это добро — единый. Все уже скачали и проверили, были ли вы в ней? (Upd. полную версию оттуда уже убрали, но зато она появилась на трекерах) Ссылку на то, где скачать, привожу потому, что Яндекс уже сбросил пароли у всех скомпрометированных адресов. Более того — поступили официальные заявления, что большая часть адресов в ней (85%) — созданы ботами, или давно заброшены, поэтому даже использовать ее как спам-базу не получится.
Но тем не менее. Разумеется, первым делом я проверил наличие в ней всех адресов, так или иначе связанных со мною.
Меня, как ни странно, там не оказалось. На самом деле, это история не новая, аккаунты взламываются и подобные базы размещаются постоянно. Но история эта, напомнила мне события полуторагодовалой давности, когда были взломаны мои Яндекс.Деньги. Как я уже говорил, пароль на вход в яндекс-деньги, и на вход в почту — один и тот же. На мое счастье — яндекс использует еще и платежный пароль, поэтому снять с этого счета злоумышленникам тогда ничего не удалось. Правда, остался вопрос — как удалось взломать только вход в сервис, без платежного пароля? Если бы это был троян — взломали бы и то, и то. И явно ломали не перебором — шестнадцатисимвольный пароль с буквами в разном регистре, цифрами и знаками практически невзламываемый. Вопрос до сих пор остается без ответа.
В общем, у меня очень сильные подозрения, что представленная и опубликованная седьмого числа этого месяца база (хотя сейчас поступает информация, что она была опубликована еще 15-го августа) — всего лишь часть того, что было взломано. И хотя и так размах в более, чем миллион адресов поражает — но судя по самому себе, все может быть гораздо хуже.
Кстати, в выложенной базе (ну, или части, как я предположил) — в основном встречаются довольно простые пароли. Вот, кстати, топ-200 паролей из этой базы. И qwerty, как ни удивительно — всего лишь на 4-м месте с его 7681 использованием, всего-навсего около шести десятых процента. Я думал, будет под процент-два. Но нет, оказалось, что 3% — это у 123456.
Ну и конечно, поражает огромное количество русских слов, набранных английскими буквами, например 501 раз у ghbdtn. И я уж не знаю, кого считать более блондинками — 306 Анастасий с их fyfcnfcbz, или 295 Марин, которые даже не парились набирать русское имя в английской раскладке, а так и написали — marina. Очень, кстати, сочетается с зарубежной статистикой, например, по утекшим паролям для hotmail, в котором самым популярным женским именем, используемым в качестве пароля, оказалось alejandra. В общем, материал для анализа — преинтереснейший. Особенно с учетом количества программ, которые позволяют эти пароли подбирать. Так и хочется сказать — будьте бдительны. Фраза «Яндекс — найдется все» заиграла теперь новыми красками .
Ну, и в связи с этим — не могу не упомянуть о том, что меня уже задолбал вирус — троян под названием ulbloqmeed vbs. В принципе, гадость эта не слишком злобная, занимается тем, что превращает на флешке папки в ярлыки. Ну, в смысле, папки не шифруются (что было бы гораздо хуже), а просто становятся скрытыми, а вместо них — появляются ярлыки для них. Конечно, может он хочет еще и собирать какие-нибудь пароли — но поскольку так явно себя выдает, то естественно, убивается практически сразу. Появляется он у меня регулярно, как только я позволяю кому-нибудь вставить флешку в свой компьютер — уж больно популярная гадость. Подобных вирусов сейчас очень много, но механизм, как от них лечить — довольно прост. Основная сложность — то, что его не удалишь, пока в памяти висит его процесс, и то, что его копия может лежать в разных местах — в C:\users\Имя_пользователя\appdata\roaming\, в C:\users\Имя_пользователя\AppData\Local\Temp\, в RECYCLER\. Итак, как лечу этот вирус я (на примере Windows 7).
Увидев, что у меня вместо папок — ярлыки:
1. Захожу в Total Commander, где в меню (Конфигурация->Настройка->Содержимое панелей) у меня уже по умолчанию стоит галочка в чекбоксе «Показывать скрытые/системные файлы.» Если не стоит — надо поставить.
2. Запускаю диспетчер задач, там нахожу процесс WSCRIPT.EXE, ну и естественно — тут же его убиваю (скриншот не мой, но не важно).
Сделать это надо обязательно, иначе вирус будет постоянно перезаписываться из памяти.
3. Дальше. Захожу в Тотал Коммандере на флешку, убиваю там файл ulbloqmeed.vbs (обычно в корневой папке). Если есть папка RECYCLER\ — наверняка какая-нубудь гадость есть и в ней.
4. Удаляю все ярлыки, т.е. папки с расширением .lnk. Главное тут — не удалить собственно все наши папки с информацией, т.е не перепутать их с их же ярлыками!
5. Все нужные папки, которые были сделаны скрытыми — выделяю, и делаю обратно видимыми, путем выбора в меню тотал коммандера «Файлы->Изменить Атрибуты…», и в выпавшем окошке
убирая галочки со всех чек-боксов атрибутов.
6. После этого в том же самом Total Commander-e нажимаем Alt-F7, и ищем на диске C: по части из названия файла, например в случае ulbloqmeed.vbs — достаточно по ulbloq
7. После окончания поиска записываем пути к найденным файлам вируса, идем по ним (можно и просто вывести файлы на панель) и удаляем все эти файлы. Обычно они лежат в директориях
C:\users\Имя_пользователя\appdata\roaming\
C:\users\Имя_пользователя\AppData\Local\Temp\
C:\Users\ Имя_пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
8. Ну вот, осталось запустить regedit (пуск-выполнить или win+R, вводим regedit), заходим в
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
и
HKEY_USERS\какие-то номера\Software\Microsoft\Windows\CurrentVersion\Run
и удаляем оттуда запись в стиле
Run: [ulbloqmeed] wscript.exe //B «C:\Users\Имя_пользователя\AppData\Local\Temp\ulbloqmeed.vbs
Иными словами запись, ссылающуюся на запуск этого трояна, и содержащую в себе его имя.
Собственно все. Можно еще, на всякий случай, сделать поиск по всему реестру по имени файла, чтобы удалить и оттуда. Либо — вообще, в качестве 8-го пункта, вместо того, чтобы идти по указанным веткам реестра — сделать поиск.
Впрочем, как я уже сказал, этот вид вирусоу и троянов — не самое страшное. Максимум, что вас ожидает, если вы это не сделаете — что ваши е-мейлы и пароли обнаружатся в какой-нибудь очередной базе данных
Вот если запустите какое-нибудь файл, шифрующий ваши данные — все будет гораздо печальнее.
Upd. Не успел опубликовать — как очередная новость: 4.5 миллиона паролей от mail.ru тоже уже можно скачать на просторах в интернете. Правда, в большинстве своем там только ящики, и по количеству тех, к которым еще и пароли прикладываются, их меньше, чем на яндексе (говорят, около восьмисот тысяч) — но тем не менее.
Upd.2 В интернете для mail.ru лежит две базы. В одной из них, которая выдается по всем поисковым запросам — действительно только около 800 тысяч, и начинаются они где-то со второго миллиона. Во второй, найти которую гораздо сложнее (еле нашел, пока выкладывать не буду) — присутствуют пароли ко всем, почти 4.7 миллионам аккаунтов. Охренеть.
Однажды по производственной необходимости пришлось воспользоваться яндекс-кошельком-шлюзом, чтобы перевести деньги со своей кредитки на нужный мне счёт по работе и срочно. Душа в это время скрипела.. Насколько опасно теперь держать деньги на данной кредитке — вот, что хотелось бы знать.
Мне кажется, все зависит от того, как процесс перевода был осуществлен. После того, как был осуществлен взлом моих Яндекс-денег — я там перестал хранить какие-либо суммы на постоянной основе, не смотря на то, что к этому счету у меня привязана яндекс.кредитка. Если надо что-то оплатить в интеренете — загоняю туда деньги со сбербанковской карты (т.к. ее пополнение со сберовской карты бесплатно), и тут же оплачиваю. Таким образом в интернете и основная карта не светится лишний раз, и на этой не лежит то, что можно украсть.
Всё понятно, спасибо. Я на яндексе давно денег не держу, но вот надо было заплатить и срочно, поэтому пришлось воспользоваться ШЛЮЗОМ. На ресурсе при нажатии «оплатить» пришлось вводить реквизиты карты и я оказалась после этого… на яндекс-кошельке! Он снял деньги с карты и направил на необходимый ресурс. Неприятно ((