Нужен совет ИБ специалиста.

[rns]

Доброго времени суток, коллеги. Недавно меня пригласили в комп. клуб. как ИБ специалиста. Там какие-то выродки поставили по майнеру на ПК, и майнили себе спокойно 19 дней на 20-и 3060 Ti. Раньше с подобными вещами не сталкивался. Сначала хозяин заведения попросил меня удалить их с ПК, но когда я это сделал, оказалось что для расследования правоохранительными органами нужно было оставить на месте майнеры, и опечатать ПК.

Вопрос в следующем, как по вашему опыту, можно доказать, что данные майнеры присутствовали на ПК? Попробовал восстановить файлы через "Hetman Patrition Recovery", но получилось восстановить не везде. В логах вроде чисто, микротик хранит только 100 строк логов. Уже всё вроде перепробовал, но так и не нашел ничего полезного. В такие моменты думаешь - "Как жаль что винда не логгирует каждое действие". А может и логгирует? Просто я этого не знаю? Или плохо гуглю? В общем я думаю вы меня поняли, нужен ваш совет, как собрать улики с места происшествия. Точек восстановления системы кстати тоже не было

 

[DragonFly]

А им реально надо расследовать ? И думают найду кто?еще и на месяцы компы в простое будут скореевсего.. и никакой прибыли заведению
Извини за офтоп

 

[rns]

Я уже нашел этих людей. Нужно доказать через экспертизу, что файл который они поставили, был вредоносным и доказать их причастность. Что-бы это сделать, нужны логи, а я уже вроде как всё перепробовал. Мы достанем диски с компов, вставим новые, старые будут как улики. Компы работать будут, заведение тоже. По приезду экспертизы подменим диски назад. На экспертизе ПК будут не долго, они снимут дампы ОЗУ и снимут диски. Всё остальное отдадут. Мы опять ставим новые диски, и заведение работает. Простой будет максимум 3-4 дня. Поэтому заведение понесет не большие убытки. А вот если сгорят все те 20 штук 3060 Ti, то тут уже речь о ущербе в миллионы рублей.

А им реально надо расследовать ? И думают найду кто?еще и на месяцы компы в простое будут скореевсего.. и никакой прибыли заведению
Извини за офтоп

 

[DragonFly]

Молодец, все четко! надеюсь получится логи достать , удачи!

 

[Rook]

Если восстановлен хоть один Майнер. Там по логике должны сохраниться Риги и их кошельки куда они майнили. Прочекай в инете кошельки и посмотри с каких ригов шло.

 

[Pernat1y]

Сначала хозяин заведения попросил меня удалить их с ПК, но когда я это сделал, оказалось что для расследования правоохранительными органами нужно было оставить на месте майнеры, и опечатать ПК.

Сомнительная, ИМХО, затея, учитывая, как сильно вы там сами наследили.

 

[rns]

Если восстановлен хоть один Майнер. Там по логике должны сохраниться Риги и их кошельки куда они майнили. Прочекай в инете кошельки и посмотри с каких ригов шло.

риги есть, кошельки тоже, это додумался сохранить на всякий еще до удаления. Но не думаю что это что-то докажет

 

[rns]

Сомнительная, ИМХО, затея, учитывая, как сильно вы там сами наследили.

Мои следы мне не помешают, это точно

 

[rns]

Молодец, все четко! надеюсь получится логи достать , удачи!

Спасибо

 

[TrUffAlDiNo]

Вопрос в следующем, как по вашему опыту, можно доказать, что данные майнеры присутствовали на ПК? Попробовал восстановить файлы через "Hetman Patrition Recovery", но получилось восстановить не везде. В логах вроде чисто, микротик хранит только 100 строк логов. Уже всё вроде перепробовал, но так и не нашел ничего полезного. В такие моменты думаешь - "Как жаль что винда не логгирует каждое действие". А может и логгирует? Просто я этого не знаю? Или плохо гуглю? В общем я думаю вы меня поняли, нужен ваш совет, как собрать улики с места происшествия. Точек восстановления системы кстати тоже не было

Рекомендую оставить этих людей, которые установили майнеры на компьютеры к клубе в покое.
Вряд-ли программы для майнинга криптовалюты экспертиза признает вредоносными.
Ведь в этом случае, огромную часть человечества нужно привлечь к юридической ответственности.
Во-вторых, чуваки, что установили майнеры, вряд-ли нарушили закон уже в том, что в клубе не было запрета на установку софта.
Иначе, что это за клуб ? Чем там можно заниматься ?
За что ты хочешь "докопаться" к людям ?
Направь свою энергию в позитивное русло.

 

[rns]

Рекомендую оставить этих людей, которые установили майнеры на компьютеры к клубе в покое.
Вряд-ли программы для майнинга криптовалюты экспертиза признает вредоносными.
Ведь в этом случае, огромную часть человечества нужно привлечь к юридической ответственности.
Во-вторых, чуваки, что установили майнеры, вряд-ли нарушили закон уже в том, что в клубе не было запрета на установку софта.
Иначе, что это за клуб ? Чем там можно заниматься ?
За что ты хочешь "докопаться" к людям ?
Направь свою энергию в позитивное русло.

Полнейший бред. Я бы с тобой поспорил, но у меня нет на это времени)

 

[Rook]

Рекомендую оставить этих людей, которые установили майнеры на компьютеры к клубе в покое.
Вряд-ли программы для майнинга криптовалюты экспертиза признает вредоносными.
Ведь в этом случае, огромную часть человечества нужно привлечь к юридической ответственности.
Во-вторых, чуваки, что установили майнеры, вряд-ли нарушили закон уже в том, что в клубе не было запрета на установку софта.
Иначе, что это за клуб ? Чем там можно заниматься ?
За что ты хочешь "докопаться" к людям ?
Направь свою энергию в позитивное русло.

Плюсую. Майнеры не вредонос.

 

[Harbour]

Плюсую. Майнеры не вредонос.

финансовый ущерб по электричеству, не ? несанкционированный дорступ/установка, не ? привлечь их можно по куче статей. "на теле даже полностью голого матроса можно найти 21 нарушение устава"

 

[TrUffAlDiNo]

финансовый ущерб по электричеству, не ? несанкционированный дорступ/установка, не ? привлечь их можно по куче статей. "на теле даже полностью голого матроса можно найти 21 нарушение устава"

Не, чувак, не.
Это тупА предъявы для столба.
Это на совсем дураков расчитано.
Указывай статьи Административных, Уголовных кодексов, которые нарушили майнеры.
Или другие нормы закона.
В законодательстве очень много нюансов.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++
На спине голого матроса потому и можно найти преступления, что он не может ничего ответить.
Ещё к электрическому столбу приИпацца можно.
И ещё много таких безмолвных и безъязыких "виноватых" можно найти.
Только это не круто.

Я вот думаю, откуда растут ноги у желания искать вину на спинах у матросов ?
Как такие мысли приходят в голову ?
Расскажи .

 

[ED_user]

Наказать в данном случае могут, т.к данный софт ставился с целью получения выгоды, что повлекло к фин. убыткам компании (интернет клуба).

В винде походу можно было посмотреть когда был установлен софт. Можно сопоставить со временем взятия данного ПК физ. лицом.

Желательно в интернет клубе вести логирование, чтобы таких эксцессов не было.

 

[Harbour]

Не, чувак, не.
Это тупА предъявы для столба.
Это на совсем дураков расчитано.
Указывай статьи Административных, Уголовных кодексов, которые нарушили майнеры.
Или другие нормы закона.
В законодательстве очень много нюансов.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++
На спине голого матроса потому и можно найти преступления, что он не может ничего ответить.
Ещё к электрическому столбу приИпацца можно.
И ещё много таких безмолвных и безъязыких "виноватых" можно найти.
Только это не круто.

Я вот думаю, откуда растут ноги у желания искать вину на спинах у матросов ?
Как такие мысли приходят в голову ?
Расскажи .

однозначно дурак это тот, кто полез в эти компы, походу общался только со столбами - теперь пообщается с прокуроами. смысл аллегории с матросом, которую ты так и не просек, состоит в том, что виноват ты будешь всегда, даже если тупо мимо крокодил.

 

[Wenzel]

На экспертизе ПК будут не долго, они снимут дампы ОЗУ и снимут диски. Всё остальное отдадут.

Дампы памяти конечно помогут им в экспертизе, еще через месяцок другой дампы снять, так те вообще неопровержимым доказательством станут.

 

[TrUffAlDiNo]

однозначно дурак это тот, кто полез в эти компы, походу общался только со столбами - теперь пообщается с прокуроами. смысл аллегории с матросом, которую ты так и не просек, состоит в том, что виноват ты будешь всегда, даже если тупо мимо крокодил.

Я просёк, просёк.
А ты похоже даже упиваешься своими рассуждениями, только читай и удивляйся:

привлечь их можно по куче статей. "на теле даже полностью голого матроса можно найти 21 нарушение устава"
дурак это тот, кто полез в эти компы, походу общался только со столбами
теперь пообщается с прокуроами
виноват ты будешь всегда, даже если тупо мимо крокодил.

Тебе до меня никто не намекал с проблемами с общепринятыми нормами морали ?
Не подскажешь, это та самая "система, которая не признаёт ошибок" система располагает к таким твёрдым убеждениям, готовит таких убеждённых кадров ?

 

[Rook]

Какой фин ущерб понес комп клуб?
Видеокарты на гарантии?
Сколько света точно спалили именно эти майнеры?
Как ты вообще это вычислишь в тот промежуток времени?
Ты записывал показание эл.счетчика ?
Та цель "обогащения" вообще косвенная. Может они вообще это делали не с целью заработать крипты,а из чистого энтузиазма и тд.

Твои доводы реально пустые в плане закана. Приводи те или иные статьи с пояснениями или это просто тупая трата времени все это размусоливать

 

[rns]

В общем все логи собрал, все док-ва есть. Выше полный бред. Сами понимаете что пишите? По поводу дампов ОЗУ, подмечено верно, что в этом нет смысла, но с этим я это и писал, что эксперты от государства у нас вы сами знаете какие, и поэтому с этим нужно им помочь. Люди поставившие майнеры уже задержаны, какой ушерб? Да вот такой, до установки майнеров затраты на электроэнергию были 20-30к в мсц, после установки плата возросла до 50-60к в мсц. Это всё тоже доказуемо, и уже в процессе. Видеокарты хоть и на гарантии, но в любом случае, комплектующим досталось по самые гланды от майнеров, и в любом случае они понесут ответственность за свои действия. Тема закрыта. Я еще раз убедился что 70% "жителей" данного форума дети, которые о форензики и подобных преступлениях никогда в жизни то и не слышали.