Как я лоханулся на 0,15 BTC. Читайте, чтобы не потерять свои bitcoins

Подмена биткоин (bitcoin) адреса в буфере обмена (Bitcoin Stealer)

История будет полезна всем криптоэнтузиастам, и я прошу поделитесь ей как можно шире, чтобы другие участники сообщества не потеряли свои bitcoins. Разместите ссылку в соцсетях, группах Viber, WhatsApp и Telegram. Отправвьте в личку тем, кто занимается криптовалютами.

Ниже моя недавняя история про то, как я расстался с 0,15 BTC в пользу мошенника. 

Как выяснял, что произошло. 

Что сделал для того, чтобы такого больше не повторилось.

Вы ведь не хотите, чтобы у вас уплыли ваши биткоины? 

ТОГДА обязательно читайте дальше.

Пишу по свежим следам. Дело было 28 сентября. Как вы знаете, курс битка просел в сентябре ниже $3000 на некоторых биржах. Я битки не продавал, накапливал. 28 сентября курс немного отрос до $4176, а у меня подкопились некоторые платежи, поэтому решил, как обычно, поменять в обменнике. Операция рутинная, 100 раз менял, а может 1000. т.к. давно с электронными платежами дружу (акк webmoney с 2005 года).

На www.bestchange.ru нашел обменник. Направление обмена выбрал BTC->ADVcash. Такое направление выбрал потому, что немного выгоднее.

Заполнил заявку. Всё как обычно.

Смотрите скриншоты.

Кошелек, на который нужно сделать перевод, видите выше. Дальше самое интересное. Не переключайтесь.

Выделяю кошелек. Копирую. Нужно заметить, что у меня стоит программа для работы с буфером и можно точно отследить, какая информация и когда попадала туда.

Это подтверждает, что я скопировал верный адрес.

Затем вставил его из буфера в поле кошелька BTC Core, чтобы сделать перевод.

Дальше я стал ждать подтверждений. Нужно было 2 подтверждения для принятия платежа.

Чтобы отслеживать подтверждения, я перешел на blockchain.info. Скопировал из транзакции кошелька адрес на который сделал перевод. Вставил на blockchain.info и сижу спокойно жду. ))

https://blockchain.info/address/1CVD7KjsjprQrTdLRcv7tSVBDiXC23z1wi

Когда 2 подтверждения случилось, я смотрю на заявку, а статус на "Оплачено" в обменнике не меняется.

Пишу в поддержку и только тут до меня начинает доходить.

Я писал уже, что давно с электронными платежами работаю. Всякое было. Опытный. Обычно проверяю номера на которые перевожу. Запоминаю первые и последние 2 символа, чтобы не ошибиться. 

ТОЛЬКО НЕ В ЭТОТ РАЗ!

Вы поняли в чем фокус?

Это так называемый Bitcoin Stealer. Программа, которую вы сами запускаете, т.к. она замаскирована разными способами. Затем она прописывается в скрытую загрузку и висит в процессах под названием, которое похоже на полезную программу. Делает она ровно одно, когда вы копируете биткоин адрес она сразу его подменяет в буфере обмена (clipboard) на адрес злоумышленника. Стиллеры были когда-то популярны на замену WebMoney и Yandex кошельков в 2007-2012 году. Потом как-то схлынула мода, а сейчас на волне хайпа крипты опять стали делать инсталлы с этим гуано. 

Внимание! Это сейчас только набирает обороты и возможно я спас вас от потери крупной суммы биткоинов! Будьте внимательны, вень транзакцию не отменить, т.к. это блокчейн!

Нужна помощь! Возможно вы знаете, как отследить транзакции и вычислить IP злоумышленника? Ведь на его кошелек почти каждый день поступают биткоины от обманутых им людей. 

Мы вместе можем это остановить!

Расследование.

В первый день после инцидента я был обескуражен, зол на себя за такое головотяпство, ведь наученный.)) Поэтому на второй день только взялся за расследование откуда прилетело.

Конечно, пришлось искать в интернет, читать, смотреть. Только информации катастрофически мало.

Для убивания всяких троянов пользуюсь Advanced SystemCare. Первое что сделал прогнал его. Потом антивирус Нортоновский. Процессы все перпесмотрел. Ничего.

Скачал Security Task Manager, чтобы просканировать процессы. Тоже ничего.

Тогда решил просто блокировать подозрительные, перрезагружать комп и смотреть исчезнет или нет замена.

Это принесло результат и я его нашел.

Смотрите где эта программа скрывалась.

Маскировалась под системный процесс svchost.exe только изменило название на svhcost.exe. В списке процессов была под названием "Java x86 fpplicate".

Попала на компьютер предположительно через установщик игры, скачанной с торрента. Обычно размещают под видом DirectX или vcredist_x64/x86. Но могут и любым другим именем обозвать. Предположительно потому, что когда я кликнул 2 раза мышкой на файл svhcost.exe, чтобы проверить он исчез. Скорее всего была встроена функция удаления минуя корзину в случае запуска пользователем.

Чтобы история не повторилась я установил Spy Protector, который выводит окно, если какой то процесс пытается прописаться в автозагрузку. В этом окне вы либо разрешаете, либо нет этому процессу прописаться. Всё под контролем теперь.

 Надеюсь вы попали на эти страницу не после того, как пострадали от мошенника, а ознакомились и приняли соответствующие меры.

★ Если считаете статью полезной, поддержите автора, ему этот опыт дорого обошелся ★

✦ Я занимаюсь разработкой, интеграцией и внедрением бонусных программ лояльности, как у М.Видео, Спортмастер и пр., для небольших компаний. Внедряю их в системы автоматизации 1С, R-Keeper, сайты http://welc.club/brand/brigadir, мобильные приложения https://play.google.com/store/apps/details?id=com.DaskO. Мне очень нужны заказы в связи с недавней потерей 0,15 BTC. Если у вас есть те, кому нужна программа лояльности, МАЯКНИТЕ на [email protected]. 

✦ Поддержите! Оставьте GOGLOS и поделитесь в соцсетях>>>

✦ PayPal ➲ paypal.me/mastershihov 
✦ WebMoney WMR ➲ R526784286974 
✦ WebMoney WMZ ➲ Z815312692255 
✦ Счет QiWi ➲ +79148713633 
✦ Яндекс.Деньги ➲ 41001190965198 
✦ Bitcoin ➲ 18S2okfoKQtuy6BmyJjv2EkC7emGyyCxuQ  

P.S. История не закончена. Я нашел программера, кто предположительно изготовил эту программу. Взял курс по безопасности. Надеюсь выйти каким-то образом на злоумышленника и остановить его. Пока предупредил вас об опасности. Спасибо, что дочитали до конца. Буду благодарен любой помощи.