|
В данной статье мы рассмотрим работу с криптологами на примере логов с Azorult. Кошельки: имеют формат wallet.dat . Если они есть, то в логе создается папка Coins. Смотрим что в ней есть: http://image.prntscr.com/image/Z_PqN...YREkwwfyvA.png (Папка coins в логе со стиллера Azorult) В нашем случае есть 3 кошелька. Как проверить их на предмет баланса? Качать каждый это очень долго. Просто открываем наш wallet.dat блокнотом и ищем там поиском строку ''name''. Для примера возьмем MinexCoin: http://image.prntscr.com/image/6HhOi...ppHq1nUhHQ.png Копируем найденное значение. В нашем случае это: XXs3Mduh8kxPbgqFQKwGWYM9YjH5R6SYbK Это и есть наш адрес кошелька, теперь идем в гугл и пишем /имя кошелька/ explorer. В данном случае «minexcoin explorer»: http://image.prntscr.com/image/BTlcY...n3ki-pxwzg.png Переходим по ссылке, вставляем полученный ранее адрес и видим баланс нашего кошелька: http://image.prntscr.com/image/85IFs...YWhAythVbA.png Идем на coinmarketcap и смотрим сколько стоит эта монета. http://image.prntscr.com/image/4s_w9...QVKrPsL88w.png В данном случае это копейки и не стоит даже заморачиваться с выводом. Так просматриваем все кошельки. Если баланс вас заинтересует , то качайте кошелек монеты с офф сайта, ищите в гугле /название монеты/ wallet. После скачивания заменяете файл wallet.dat в папке: Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">C:\Users\имякомпа\AppData\Roaming\� �мя кошелька\</pre> После этого с помощью кошелька выводите монеты куда вам хочется . Кстати, не популярные монеты есть не на всех биржах . Чтобы узнать , куда нам можно вывести монеты , нужно посмотреть , где она торгуется. Для этого на том же coinmarketcap есть раздел «Markets» , переходим в него и мы видим биржи, на которых торгуется монета. Заводим там аккаунт, выводим себе монеты, с этим всё просто. Файлы: Обычно в логах вы можете найти изображения и текстовые файлы с рабочего стола. В нашем случае на рабочем столе лежал файл с названием «Passwords». Открываем файл и ищем что нибудь интересное для нас. http://image.prntscr.com/image/KROTe...2mDQZmrLDA.png Первое что видим, это 12 слов для восстановления блокчейн кошелька. Так же выше есть логин, но нет пароля. Пароль скорее всего подойдет от файла с логами/пассами. Но сейчас не об этом. Если есть 12 слов , то мы можем не искать пароль , а сразу восстановить кошелёк. Для этого идем на https://login.blockchain.com/#/login и проходим процедуру восстановления, где нас и попросят ввести эти 12 слов. В конце данной процедуры нам нужно будет ввести новые почту и пароль, после чего мы попадаем в наш кошелёк и выводим всё что есть. Profit! Если в текстовом файле есть кошельки от других криптовалют, таких как монеро и пр., и секретная фраза для их восстановления, то работаем по той же схеме. Единственное что нам уже нужно будет проходить восстановление не на Blockchain, а на сайте указанного кошелька или монеты. Так же у нас в файле видим кошелёк Ethereum и секретный ключ для доступа к нему: http://image.prntscr.com/image/DUDSk...2AM15OD1-A.png Нас интересует этот самый 64х значный ключ. Идем на сайт myetherwallet и делаем следующее: http://image.prntscr.com/image/NZ6CV...WV8Yt6Qd-g.png Попадаем в кошелёк и если что то находим (баланс или токены), то выводим куда нам удобнее. Логины и пароли: Первым делом определяем основную почту жертвы исходя из количества аккаунтов зарегистрированных на неё. Импортируем куки в наш браузер (Google Chrome, Firefox, LinkenSphere) и пытаемся войти на эту почту, в большинстве случаев проблем со входом нет. Далее смотрим логи на предмет сайтов, связанных с криптовалютой. Это могут быть такие сайты как: Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 162px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">https://cryptonator.com https://www.blockchain.com/ https://minergate.com https://faucethub.io/ https://www.eobot.com https://allcoins.pw https://www.faucetcrypto.com https://www.coinbase.com https://hashflare.io</pre> и прочие. Так же стоит смотреть и биржи: Exmo, Binance, Bittrex, Cryptopia, Yobit, Livecoin, StocksExchange ... Следует всегда держать почту открытой, ибо для большинства сайтов требуется подтверждение для входа через почту. Как только вы прочитали письмо, удаляйте его в корзину а затем и из корзины. Часто на вход стоит дополнительная защита - Two-factor authentication (2FA). Это 6 значный код, который нужно ввести в специальное поле при входе. Для этого нужно искать резервную копию этого самого кода в логе, она может быть как в текстовом варианте, так и в виде QR кода. Скачиваем себе на телефон приложение Google Authenticator, сканируем QR код или вписываем текст, теперь у нас на телефоне генерируется 6-ти значный код, такой же, как и на телефоне хозяина акка. На этом всё. @Bnlvdn |
| All times are GMT. The time now is 05:01 AM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.