Внимание, Требование денег!
8612
16
Вот такое письмо получил сегодня, отправил ответ кнопкой "ответить" и .. убедился что письмо отправлено с моего НГС-овского адреса, ответ пришел "обратно".

Показать спойлер
I greet you!

I have bad news for you.
27/08/2018 - on this day I hacked your operating system and got full access to your account fvn@ngs.ru
On that day your account (fvn@ngs.ru) password was: pekidiju

It is useless to change the password, my malware intercepts it every time.

How it was:
In the software of the router to which you were connected that day, there was a vulnerability.
I first hacked this router and placed my malicious code on it.
When you entered in the Internet, my trojan was installed on the operating system of your device.

After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to lock your device and ask for a small amount of money to unlock.
But I looked at the sites that you regularly visit, and came to the big delight of your favorite resources.
I'm talking about sites for adults.

I want to say - you are a big pervert. You have unbridled fantasy!

After that, an idea came to my mind.
I made a screenshot of the intimate website where you have fun (you know what it is about, right?).
After that, I took off your joys (using the camera of your device). It turned out beautifully, do not hesitate.

I am strongly belive that you would not like to show these pictures to your relatives, friends or colleagues.
I think $911 is a very small amount for my silence.
Besides, I spent a lot of time on you!

I accept money only in Bitcoins.
My BTC wallet: 1LwibmKAKu4kt4SvRLYdUP3aW7vL3Y78zL

You do not know how to replenish a Bitcoin wallet?
In any search engine write "how to send money to btc wallet".
It's easier than send money to a credit card!

For payment you have a little more than two days (exactly 50 hours).
Do not worry, the timer will start at the moment when you open this letter. Yes, yes .. it has already started!

After payment, my virus and dirty photos with you self-destruct automatically.
Narrative, if I do not receive the specified amount from you, then your device will be blocked, and all your contacts will receive a photos with your "joys".

I want you to be prudent.
- Do not try to find and destroy my virus! (All your data is already uploaded to a remote server)
- Do not try to contact me (this is not feasible, I sent you an email from your account)
- Various security services will not help you; formatting a disk or destroying a device will not help either, since your data is already on a remote server.

P.S. I guarantee you that I will not disturb you again after payment, as you are not my single victim.
This is a hacker code of honor.

From now on, I advise you to use good antiviruses and update them regularly (several times a day)!

Don't be mad at me, everyone has their own work.
Farewell.
Показать спойлер


К сожалению, не нашел как посмотреть заголовки письма, чтобы выяснить через какие сервера оно ко мне попало.

Думаю ясно, что это СПАМ-рассылка, и пароль у меня иной, и хожу я в интернет по "иным" сайтам (НГС = adult site?!?) и даже то, что в письме нет ни единого "попадания" .. тем не менее, публикую для того чтобы предупредить тех, кто ещё может попасться, потому как пометки к письмам "это спам" на местной почте не работают давным-давно.

Также отправил копию письма на саппорт, надеюсь, администрация таки пришлет оригинальные заголовки откуда на самом деле было оно отправлено а также IP-адреса серверов прохождения письма.

Интересно, кто-нибудь знает - можно ли найти владельца этого кошелька бит-коинов по номеру? Если - то как? Буду признателен.
tolstopuz
Получила 4.11 письмо с точно таким же содержанием! написала в техподдержку, пока тишина. Кому нибудь ответили? я так понимаю массовая рассылка
TatV
Жду, пока молчат. Сильно подозреваю, что этот вирус "подцепил" собственно сервер НГС-а .. посмотрим "кто кого".:улыб:
tolstopuz
думаю так и есть. поскольку в почту не могу зайти с сайта, а через почтовое приложение без проблем и через мэйл.нгс тоже
tolstopuz
НГС тут скорее всего ни причём. Подобные вымогательные письма ходят как минимум с начала августа. Рассылки идут по адресам, которые вылавливаются в интернете в открытом виде (в том числе по официальным адресам организаций, а не только по личным адресам). Неоднократно по разным емейлам, к которым имею отношение, получал подобные письма-вымогательства. Кстати, пока ни разу по поводу "взломаных" адресов с нгс-почты.

Концовки только со временем меняются. В августе описывали страшилки-истории, о хакнутых жертвах, которые не хотели платить, а после рассылки хакером "компромата" по всем контактам в Фейсбуке, жертва кончала жизнь самоубийством. Сейчас вот в опубликованном здесь письме вместо этих историй угрозы о том, что не только "компромат" будет предан огласке, но и кирдык технике придёт (скорее всего имеется ввиду в первую очередь смартфон, к которому получил доступ хакер).

В общем, стандартная психологическая атака: вдруг попадут действительно на человека, который посещал "грязные" сайты и при этом страшно боится, что об этом кто-нибудь узнает из его знакомых. Глядишь, так и наберётся некоторое количество человек, готовых платить за молчание.
formalist
Ну вот ПОЭТОМУ и запросил все заголовки письма от администрации .. посмотрим откуда, какими путями оно пришло ко мне. Кроме "публичного" адреса доставки есть RFC заголовки (или как их там корректно зовут..), которые каждый сервер пути добавляет самостоятельно. Реальный, а не "виртуальный".

P.S. Да. указанный кошелек слегка удалось "пробить" .. на нем всего 3 транзакции и 26 "подтверждений"... персональных данных конечно же нет.. никаких.
tolstopuz
Сейчас вот у себя в спаме (не нгс) обнаружил подобное письмо (текст немного другой).

Вот часть заголовков:
Показать спойлер
Return-Path: <Aaron862Smith@yahoo.jp>
Received: Здесь_данные_моего_почтового_сервера
Received: from yahoo.jp (mail.stroyteks86.ru [31.163.200.36])
by тут_тоже_часть_информации_про_мой_почтовый_сервер_и_адрес
Received: from [106.145.247.105] by asx121.turbo-inline.com with ESMTP; Fri, 02 Nov 2018 11:37:56 -0400
Received: from public.micromail.com.au ([Fri, 02 Nov 2018 11:26:00 -0400])
by mailout.endmonthnow.com with QMQP; Fri, 02 Nov 2018 11:26:00 -0400
Received: from [88.8.238.100] by mtu23.bigping.com with ESMTP; Fri, 02 Nov 2018 11:23:42 -0400
Received: from m1.gns.snv.thisdomainl.com ([96.109.140.146]) by mtu67.syds.piswix.net with SMTP; Fri, 02 Nov 2018 11:23:28 -0400
Received: from unknown (HELO mts.locks.grgtween.net) (Fri, 02 Nov 2018 11:21:33 -0400)
by smtp.doneohx.com with SMTP; Fri, 02 Nov 2018 11:21:33 -0400
Message-ID: <4DD39AFC.473C8752@yahoo.jp>
Date: Fri, 02 Nov 2018 11:21:33 -0400
From: Тут_мой_е-мейл
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Тут_якобы_взломанный_пароль" <Тут_мой_е-мейл>
Subject: Тут_мой_е-мейл is compromised (Тут_якобы_взломанный_пароль)
Показать спойлер

Информацию про мой почтовый сервер и е-мейл заменил.

Стандартная ситуация для спама с заменой заголовков писем для создания видимости, что письмо пришло совершенно не отуда, откуда пришло.

Ну, и для сравнения, текст самого письма:
Показать спойлер
He‌y

I'm the‌ ha‌cke‌r who‌ bro‌ke‌ yo‌u‌r e‌ma‌i‌l a‌s we‌ll a‌s de‌vi‌ce‌ a‌ co‌u‌ple‌ o‌f mo‌nths ba‌ck.

Yo‌u‌ e‌nte‌re‌d yo‌u‌r pwd o‌n o‌ne‌ o‌f the‌ i‌nte‌rne‌t si‌te‌s yo‌u‌ vi‌si‌te‌d, a‌nd I i‌nte‌rce‌pte‌d i‌t.

He‌re‌'s yo‌u‌r se‌cu‌ri‌ty pa‌sswo‌rd o‌f Тут_мой_е-мейл o‌n mo‌me‌nt o‌f ha‌ck: Тут_якобы_взломанный_пароль

Cle‌a‌rly o‌ne‌ ca‌n ca‌n cha‌nge‌ i‌t, o‌r a‌lre‌a‌dy cha‌nge‌d i‌t.

Sti‌ll thi‌s do‌e‌sn't re‌a‌lly ma‌tte‌r, my o‌wn ma‌lwa‌re‌ mo‌di‌fi‌e‌ ;d i‌t e‌ve‌ry ti‌me‌.

Do‌ no‌t ne‌ce‌ssa‌ri‌ly co‌nsi‌de‌r to‌ ge‌t i‌n to‌u‌ch wi‌th me‌ pe‌rso‌na‌lly o‌r e‌ve‌n fi‌nd me‌, i‌t i‌s i‌mpo‌ssi‌ble‌, si‌nce‌ I se‌nt thi‌s e‌ma‌i‌l fro‌m yo‌u‌r a‌cco‌u‌nt o‌nly.

Thro‌u‌gh yo‌u‌r o‌wn e‌ ma‌i‌l, I u‌plo‌a‌de‌d ma‌lwa‌re‌ co‌mpu‌te‌r co‌de‌ to‌ yo‌u‌r Ope‌ra‌ti‌o‌n Syste‌m.

I sa‌ve‌d yo‌u‌r e‌nti‌re‌ co‌nta‌cts a‌lo‌ng wi‌th fri‌e‌nds, co‌lle‌a‌gu‌e‌s, fa‌mi‌ly me‌mbe‌rs a‌nd a‌ e‌nti‌re‌ re‌co‌rd o‌f vi‌si‌ts to‌ the‌ Wo‌rld-wi‌de‌-we‌b re‌so‌u‌rce‌s.

Also‌ I i‌nsta‌lle‌d a‌ Ma‌lwa‌re‌ o‌n yo‌u‌r de‌vi‌ce‌.

Yo‌u‌ a‌re‌ no‌t my o‌nly vi‌cti‌m, I no‌rma‌lly lo‌ck pe‌rso‌na‌l co‌mpu‌te‌rs a‌nd a‌sk fo‌r the‌ ra‌nso‌m.

Bu‌t I wa‌s hi‌t by the‌ i‌nte‌rne‌t si‌te‌s o‌f pe‌rso‌na‌l co‌nte‌nt tha‌t yo‌u‌ ge‌ne‌ra‌lly go‌ toR 04;.

I a‌m i‌n su‌rpri‌se‌ o‌f yo‌u‌r o‌wn fa‌nta‌si‌e‌s! I ha‌ve‌ ce‌rta‌i‌nly no‌t o‌bse‌rve‌d a‌nythi‌ng a‌t a‌ll li‌ke‌ thi‌s!

So‌, whe‌n yo‌u‌ ha‌d fu‌n o‌n pi‌qu‌a‌nt i‌nte‌rne‌t si‌te‌s (yo‌u‌ kno‌w wha‌t I a‌m ta‌lki‌ng a‌bo‌u‌t!) I ma‌de‌ scre‌e‌nsho‌t wi‌th u‌ti‌li‌zi‌ng my pro‌gra‌m fro‌m yo‌u‌r ca‌me‌ra‌ o‌f yo‌u‌rs de‌vi‌ce‌.

Fo‌llo‌wi‌ng tha‌t, I co‌mbi‌ne‌d the‌m to‌ the‌ co‌nte‌nt o‌f the‌ pa‌rti‌cu‌la‌r cu‌rre‌ntly vi‌e‌we‌d si‌te‌.

The‌re‌ wi‌ll be‌ la‌u‌ghte‌r whe‌n I se‌nd the‌se‌ pho‌to‌gra‌phs to‌ yo‌u‌r a‌cqu‌a‌i‌nta‌nce‌s!

Altho‌u‌gh I a‌m su‌re‌ yo‌u‌ do‌n't wa‌nt tha‌t.

Thu‌s, I e‌xpe‌ct pa‌yme‌nt fro‌m yo‌u‌ i‌nte‌nde‌d fo‌r my qu‌i‌e‌t.

I thi‌nk $900 i‌s a‌n a‌ppro‌pri‌a‌te‌ co‌st fo‌r i‌t!

Pa‌y wi‌th Bi‌tco‌i‌n.

My BTC wa‌lle‌t a‌ddre‌ss: Здесь_был_номер_кошелька

If yo‌u‌ do‌ no‌t kno‌w ho‌w to‌ do‌ thi‌s - su‌bmi‌t i‌n to‌ Go‌o‌gle‌ 'ho‌w to‌ tra‌nsfe‌r mo‌ne‌y to‌ a‌ bi‌tco‌i‌n wa‌lle‌t'. It i‌s si‌mple‌.

Afte‌r re‌ce‌i‌vi‌ng the‌ spe‌ci‌fi‌e‌d a‌mo‌u‌nt, a‌ll yo‌u‌r i‌nfo‌ wi‌ll be‌ i‌mme‌di‌a‌te‌ly e‌li‌mi‌na‌te‌d a‌u‌to‌ma‌ti‌ca‌lly. My pc vi‌ru‌s wi‌ll a‌d di‌ti‌o‌na‌lly ge‌t ri‌d o‌f i‌tse‌lf fro‌m yo‌u‌r o‌s.

My Co‌mpu‌te‌r vi‌ru‌s ha‌ve‌ a‌u‌to‌ a‌le‌rt, so‌ I kno‌w whe‌n thi‌s e‌-ma‌i‌l i‌s re‌a‌d.

I gi‌ve‌ yo‌u‌ two‌ da‌ys (48 hrs) to‌ ma‌ke‌ the‌ pa‌yme‌nt.

In ca‌se‌ thi‌s do‌e‌s no‌t ha‌ppe‌n - a‌ll yo‌u‌r co‌nta‌cts wi‌ll ce‌rta‌i‌nly ge‌t ma‌d i‌ma‌ge‌s fro‌m yo‌u‌r da‌rki‌sh se‌cre‌t li‌fe‌ a‌nd yo‌u‌r syste‌m wi‌ll be‌ blo‌cke‌d a‌s we‌ll a‌fte‌r two‌ da‌ys.

Do‌ no‌t e‌nd u‌p be‌i‌ng fo‌o‌li‌sh!

Au‌tho‌ri‌ti‌e‌s o‌r fri‌e‌nds wo‌n't a‌i‌d yo‌u‌ fo‌r su‌re‌ ...

p.s I ca‌n pro‌vi‌de‌ yo‌u‌ wi‌th a‌dvi‌ce‌ wi‌th re‌ga‌rd to‌ the‌ fu‌tu‌re‌. Do‌ no‌t ke‌y i‌n yo‌u‌r se‌cu‌ri‌ty pa‌sswo‌rds o‌n ri‌sky we‌b pa‌ge‌s.

I ho‌pe‌ fo‌r yo‌u‌r pru‌de‌nce‌.

Adi‌o‌s.
Показать спойлер

Текст несколько отличается (так же, как и номер кошелька), но суть не меняется
formalist
Возможно, что часть заголовков письма окажется поддельной. Смотрим IP, кто на нем сидит и сверяем с именем сервера. Предпоследний в нашем случае IP и будет реальным сервером отправителем, т.к. последний - НГС.

По вашим заголовкам, предпоследний 31,163,200,36, информация об IP:

inetnum: 31.163.200.0 - 31.163.203.255
netname: Argus_propishis_v_seti
descr: Dynamic distribution IP's for broadband services
descr: OJSC Rostelekom, a XMAO
subsidiary country: RU admin-c: UKAS1-RIPE

А вовсе не тот, что "заявлен". То есть спам идет из ХМАО, с динамической группы IP с вот таким вот названием.

И да, нормальные почтовые службы не принимают письма если:
а) почтовый адрес отправителя не существует;
б) адрес сервера отправителя (по всей цепочке почтовиков) не совпадает с именем почтовика этой службы
в) адрес почтового сервера соответствует прокси-серверу.

Похоже тут (догадываюсь почему) у НГС бо-о-льшая дырища.:улыб:

P.S. Кстати, ответа от службы поддержки так и не поступило, заголовков я так и не увидел. Впрочем, уже и не жду (смысла нет).
tolstopuz
Мне тоже нет ответа, и дозвониться до них я вчера так и не смогла...
TatV
Я уже и не ожидаю, думаю и не ответят и даже догадываюсь "почему" .. похоже по той же причине, что и не стало (и давно уже!) возможности смотреть сырые заголовки писем .. закрывать ящик видимо пора.:хммм:

А если учесть, что форум НГС в общем-то уже умер .. то и стоит ли "напрягаться"?

Вот, кое-что нашлось про "Аргус" .. забавная статейка: https://lifehacker.ru/argus-statistika-vsej-aktivnosti-v-vashem-karmane/
tolstopuz
А вот это Аргус уже куда ближе к нашему вопросу: http://www.artur.pl/hack/ritlabs.ii.pl/argus/hlp/rus/index.html

Кстати, перепроверил. Имя сервера на этом IP вполне совпадают по данным сервиса who is. То есть это реальный почтовик видимо пользующий древний Аргус. А вот следующая строка у Вас затерта - оттуда и пришло сообщение.

Потому что следующий адрес имеем:
IP 106.145.247.105 - подсетка в Японии, а имя сервера asx121.turbo-inline.com имеет IP 185.53.178.9 - то есть уже является поддельным. Соответственно отправитель в затертой строке.
tolstopuz
Тоже получил такое письмо сегодня. И действительно ящик примерно полгода назад взламывался и там был указан пароль на момент взлома.
Тут всего 2 варианта - либо это шутка местных админов, либо действительно хакеры. Поэтому подождём - пусть ответят админы. Если они ни при чём - пишите заявления о преступлении в полицию.
GrishaDm
Тоже получила такое письмо, пароль был актуальный. Причём, у меня 2 ящика на нгс, и с одного письмо пришло на второй, а связаны через пересылку. И тоже некоторое время назад восстанавливала почту.
Галинка
Мне сегодня снова пришло аж сразу 2 письма, переотправил их на support@ngs.ru .. не пришло даже уведомление что саппорт "получил" кляузу.. молчат. Похоже надо тупо закрыть ящик и "забыть" про НГС как явление.
tolstopuz
Тоже получила такое письмо, но пароль указали не НГсовский, не с его ящика, хотя пароль у меня такой есть на других ресурсах,
kera
В общем, подтверждения о получении письма службой поддержки так и не поступило, служба похоже "в ауте" в полном составе.
За сим, принял решение "выпилиться" с этого почтовика и сайта как "ресурса в целом".
Жаль .. был тут практически "с основания"..
tolstopuz
а как теперь, менять везде адрес , так не везде поменять можно, и где гарантия что и туда письма не придут