ЛОГИ общее положение

Первая часть - настройка и криптологи:

Введение

Что такое логи и как с ними работать? Лог - это данные с компьютера КХ, которые содержат в себе куки, пароли, информацию о железе, IP, а также файлы с рабочего стола.

Вот так выглядит лог. С разных стиллеров логи могут выглядеть по-разному, но смысл примерно одинаковый. Дата, которая указана на логе, является той датой, когда произошла загрузка в панель. Таким образом, при покупке логов, открыв на начальном этапе этот файлик, вы можете понять срок его давности. Обычно добросовестные селлеры продают логи давностью максимум 3 недели - месяц. Если же дата совсем старая, то лог считается некачественным.

Главная задача в работе с логом - его ковыряние. В целом, логи содержат в себе достаточно информации, которая подойдет для различных целей. Тут уже личное дело каждого, кому и с чем нравится работать. Можно заниматься шантажом, вбивами, можно красть чужие акки, после чего просить за них выкуп, можно работать с криптой, с биржами, с холодными кошельками, с акками Ebay, Amazon и т.д. Вас ограничивает только ваша фантазия. :)

В целом, самое главное в работе с логами, это чтобы система воспринимала нас за своего человека. Я использую простую и доступную связку при работе, а именно Chrome + editthiscoockie + webrtc + VPN + useragent. В качестве VPN на данный момент использую Windscribe и IP Vanish. Зачастую айпи не особо много значит для нас, можно использовать любой, главное, чтобы у него не было блэков. Но с отдельными странами нужно быть более избирательными, к примеру, при работе с палкой может быть желательна подстройка под зип КХ, либо брать чистый носок.

Основное требование в работе с логами, это не пароли, как думают многие, а наличие куков. Имея куки, вы можете вытащить максимум.

Где взять логи?

Есть несколько вариантов получения логов. Первый и самый простой - их покупка. На форумах и в Телеграмме достаточное количество селлеров, которые продают логи.

Пример, годящийся для ознакомления новичкам - buylogs.info.

Расценки, конечно же, существуют разные. Есть логи по 20р. за штуку, а есть и по 20$. Цена лога зависит от его качества, страны, а также сервисов, которые есть внутри. Дороже всего обойдутся логи США. Почему? За счет того, что там огромное количество банков и активных Пейпал аккаунтов. Логи, которые стоят по 20р чаще всего без выборки, и в основном там всяких хлам, по типу соц. сетей или игрушек, но может и повезти. :)

К примеру, покупая лог с Пейпал аккаунтом, важно проверить не только наличие пароля к нему, но и есть ли он в куках. Проверяем обычным поиском в текстовике с куками, по запросу paypal. Если же там есть строчки и не одна, то этот лог считается хорошим.

При наличии строчки с фразой «login_email», как в данном случае, Пейпал выдаст нужную нам почту автоматом. Это бывает полезно, так как зачастую бывает, что у владельца куча почт, а пароля или же логина к Пейпалу у нас нет. С таким логом, получив хотя бы логин, мы можем попытаться подобрать пароль от аккаунта из тех, что у нас имеется. Также, за счёт такого количества куков антифрод Пейпала относится к нам более благосклонно, и может дать вбить что-либо без предварительной его раскачки.

Что ещё нужно знать о купленном логе? То, не продавался ли он в 10 рук. Самая простая проверка - проверка через почту. Первым делом при этом мы встраиваем куки в браузер и топаем на почту владельца.

В случае с gmail почтой, достаточно просто проверить логирования в ней. Мотаем почту в самый низ и нажимаем кнопочку "Детали".

Нам откроется окошко с последними активностями в почте. Таким образом можно понять, были ли другие посторонние логирования помимо нашего.

По IP и стране можно понять, что за последние 3 дня, никого, кроме меня и владельца, на аккаунте не было. Кроме того, можно посмотреть письма в корзине, а то мало ли, кто-то уже пытался его "поломать". Забегая немного вперед, сразу скажу, что владельцу не приходит никаких оповещений о стороннем логировании, т.к. система приняла нас за своего человека, ведь у нас были куки.

Отлично, теперь, имея на руках целый лог с куками и паролями, можно начинать работу.)

Второй вариант получения логов - покупка своего стиллера/ботнета с функцией лоадера.

Имея свой собственный стиллер, вы можете не беспокоится о том, что ваш лог кто-то успел расковырять. Чем стиллеры могут отличаться друг от друга? Их функционалом. Хорошие стиллеры воруют пароли с Фаерфокса и с Хрома, в них есть настройка форм-граббера (ворует файлы с рабочего стола), а также ищут криптокошельки - wallet.dat. Впрочем, в продаже есть и недорогие варианты - без Фаерфокса, только с Хромом, но и с этого тоже можно поиметь свою копеечку.

При покупке своего собственного стиллера нужно позаботится о хостинге - бесплатные или дешевые не протянут долго, из-за чего есть риск после пролива остаться ни с чем, ибо ваша панелька просто-напросто слетит/будет заблочена и вы попрощаетесь со своими логами. Поэтому можно приобрести либо стиллер на готовом абузоустойчивом хостинге, таким как Nocturnal, либо же придётся ставить панель на подходящий хостинг самому.

Скрины панелек, не мои, а честно спизженные.)))

Как мы можем увидеть на указанных примерах, панели стиллеров выглядят примерно одинаково. Содержание паролей, логов в целом, страны/айпи, кошельки, данные с CC, файлы и т. д.

Как же получить заветные логи в нашу панельку? Есть 2 варианта. Купить инсталлы (установки нашего вируса), либо распространять самому.

При покупке инсталлов, логи мы получаем в заранее известном количестве. Главное правило - 1000 инсталлов - НЕ РАВНО 1000 ЛОГОВ!!! В целом, важно какой будет отстук, а отстук зависит от многих факторов. От крипта (маскировки) нашего файла, от настройки форм-граббера и т.д. Если мы хотим застиллить всё что возможно, то отстук может составить и 20%, проверено на себе.))

Обычно, при покупке 1000 инсталлов, средний отстук составит около 70-80%, т.е. в панельке у нас появится 700-800 логов. Но и это ещё не всё! Часть из них может быть пустая, часть из них может быть только с куками, часть с 1-2 паролями и это абсолютно нормально. В конечном итоге, жирненьких хороших логов может получиться около 250-300.

Рассмотрим вариант распространения самому. Можно просто пихать наш закриптованный .exe под видом читов (школологи)), или же новейшей программы для чего-либо. После установки и запуска стиллера результат отобразится в панели в виде того самого лога. В дополнение, можно заказать объединение вашего стиллера с настоящей программой, тогда наш файл не вызовет никаких подозрений. :)

Распространять, как уже понятно, можно по форумам, на ютубе, на торрентах, в ВК… Что при первом, что при втором варианте итог будет одинаковый - получение логов. Но понятное дело, что, например, при распространении в ВК о качестве можно не вспоминать.

Настройка системы

Как уже было написано выше, я использую для работы обычный Хром. Я не работаю с дедиков, не работаю с виртуалки, Сферы и прочих радостей. Просто Хром, обычный Хром.

Однако, если вы захотите использовать Сферу – её настройка будет описана в следующем разделе.

На него мы устанавливаем расширения (названия кликабельны):

- EditThisCookie - встройка куков в браузер.

- WebRTC

- User-agent – при необходимости подменяет наш браузер под браузер владельца.

Ну и конечно же VPN. Можно купить VPN тут - http://ak4you.deer.su/ или http://vpnxxx.ml/

Раньше работа была только через Windscribe, но в последнее время стало его не хватать - либо нет нужной мне страны, либо есть, но айпи в блэках до невозможности. Потому могу посоветовать использовать так же IP Vanish. IP Vanish удобен тем, что у него достаточно большое количество серверов под любую страну.

После установки всех расширений и подключения к VPN, идём проверять наш IP на https://whatleaks.com/

Как же встроить куки в браузер? Мы находим в логе наш файлик с куками, нажимаем CTRL+A, CTRL+C и конвертируем куки в формат Json. У стиллеров AzorUlt, к слову, в панелях есть встроенный конвертер.

https://telegra.ph/Import-kuki-03-29 - тут есть скрипт и подробная инструкция о том, как конвертировать куки. Плюс я вам выдам html версию конвертера – может быть удобнее.

После конвертирования идём в наш браузер, и вставляем результат в нашу "Печеньку":

Всё, куки в браузере, можно начинать шариться :)

Первым делом я всегда проверяю почты. Потому что, имея доступ к почте, вы можете вытащить множество интересного, при этом даже не имея паролей. Но для этого необходимо терпение, желание и широкие глаза, чтобы ненароком не пропустить что-нибудь годное.

Касаемо настроек - нет особой схемы по настройке машины или браузеров *Чтоб дало*. Многие вещи можно делать и без этого. В случае, если вам удобнее работать со Сферы, Антика, с дедика, Фаерфокса, виртуалки - без проблем. Настройка машины под КХ бывает необходима для некоторых случаев, но об этом поговорим немного позже.

Настройка Сферы в связке с прокси от 911.re

Для начала нам понадобится скачать и установить бесплатную версию программы Proxifier (сделать это мы можем тут). Важно – необходима версия Standart, не Portable.

После этого покупаем подписку на сервис 911.re и скачиваем их клиент. Скачать можно на сайте, либо по прямой ссылке тут. Пароль на архив - 911.re

Распаковываем архив в папку на рабочем столе:

Запустить файл client, видим окно авторизации. Вводим свои данные, нажимаем «Login»:

После авторизации мы видим главное окно программы 911:

Переходим во вкладку settings (самая крайняя с правой стороны):

Выставляем все параметры как на скриншоте.

Далее переходим во вкладку Program, нажимаем на значок «+»:

И выбираем значок Linken Sphere.

После этого вы можете переходить во вкладку Proxy list и выбирать нужные вам по параметрам прокси.

Для того, чтобы выбрать «носок» надо нажать на него 2 раза левой кнопкой мыши. Советую после выбора нужных вам параметров искать носок с наименьшим значением «ping».

После выбора нужного вам носка у вас откроется Проксифаер. В ней вы должны нажать «Continue Evaluation».

После всего вышеописанного можно переходить к настройке самой Сферы. Я покажу пример того как делаю это я - @smile129, так что всех хейтеров попрошу сразу выпрыгнуть в окно - я знаю, что мой вариант настройки очень примитивен и Сфера может намного больше, но под те задачи с которыми я сталкиваюсь более чем хватает моего варианта настройки.

Для начала нужно запустить программу Linken Sphere через ярлык на рабочем столе

В этом окне авторизации вводим логин и пароль от учетной записи, купленной вами на сайте https://ls.tenebris.cc/.

После авторизации мы попадаем на главный экран сессий. Как пример - тут вы можете увидеть созданные мной сессии.

Для того, чтобы создать новую сессию вам нужно нажать на иконку «+» - setup new session.

Это окно настройки сессии. Разберем его немного подробнее.

После придумывания и введения имени сессии в окошке «NEW Session name», первое что вы всегда делаете - это нажимаете «Check proxy/geo». Если вы настроили программу 911 по моему способу, то ваш носок уже надет и готов к работе. После нажатия на «чек прокси/гео» вы увидите примерно такую картину:

Теперь разберем, что же произошло:

⦁ У вас выставился параметр «Language different» там, где стоит параметр FR. Этот параметр отвечает за эмуляцию языка, который установлен в вашей сессии. Устанавливается он под страну вашего «носка».

⦁ У вас выставилось время и часовой пояс в соответствии с выбранным вами соксом.

⦁ У вас выставилась геопозиция в соответствии с вашим «носком»

Перейдем к настройке под компьютер КХ.

Если вы используете в работе логи со стиллера то в папке с вашим логом у вас будет файл system. На разных стиллерах название этого файла отличается, но суть одна.

Мы рассмотрим настройку на примере логов со стиллера AzoRult, так как он наиболее популярен.

Для настройки под КХ нас интересует несколько файлов. Первый - файл ip:

Как многие из вас уже догадались это ip адрес нашей жертвы - под него мы и будем подбирать наш «носок». Два основных правила это:

⦁ Выбранный вами сокс должен быть максимально близко к КХ.

⦁ Он не должен находится в блек листах.

Как узнать по ip адресу откуда же наш КХ? Для этого нам нужно перейти на сайт https://www.ipqualityscore.com/free-ip-lookup-proxy-vpn-test

В окне ip address lookup вводим нужный ip адрес и нажимаем enter.

В этом окне мы получаем название Города/Штата/Провайдера нашего КХ и уже под эти данные подбираем наш «носок». Стараемся подобрать под город. Если не получилось под город, то под Region. Если совсем все плохо и КХ откуда-то из жопы мира, то выбираем под провайдера - «ISP».

Дальше нам интересен файл system.

Он содержит много информации о компьютере КХ, но нам нужно всего несколько параметров:

⦁ Версию ОС - в нашем случае это Windows 10.

⦁ Разрешение экрана - как мы видим 1920x1080.

⦁ Ко всему этому осталось узнать только браузер, который установлен у нашего КХ.

Для этого нам нужно зайти в папку Browser/Cookies:

Тут мы видим файлы с куками из разных браузеров у вас он может быть один, например, Opera. Если несколько - смотрим самый большой по размеру - его мы и будем использовать для настройки под КХ.

После того как мы знаем:

⦁ Версию ОС (в моем случае это Win 10)

⦁ Название браузера, которым чаще всего пользуется КХ (в моем случае это Vivaldi)

Нам нужно найти User-agent под нашу ос и наш браузер. Для этого нам понадобится google.com, в котором пишем примерно такой запрос:

Переходим по ссылке на сайт «developers», при этом стараемся выбрать максимально новую версию браузера - это понятно из цифр - чем выше цифры, тем новее версия.

Это и есть наш user-agent. Копируем его и возвращаемся к программе Linken Sphere:

Нажимаем на кнопку «Manage», далее кнопка «Add new», после чего вставляем в новую строчку наш скопированный юзер-агент, нажимаем save.

Выбираем нужный нам юзер агент из списка.

Выставляем разрешение экрана под КХ (из файла system), нажимаем галочку Emulate screen resolution.

Дальше нажимаем на Иконку с надписью «WEBGL», видим вот такое окно:

В этом окне выбираем из списка параметр «WebGL 2» и нажимаем на кнопку «generate from user agent», нажимаем «save».

На этом настройка под КХ у нас закончена и, в главном окне программы, снизу справа, мы можем нажимать «save».

После этого у нас откроется окно браузера и в нем откроется сайт whoer.net, где мы и увидим результат нашей настройки под КХ, а именно версию ОС и версию браузера:

После этого нам останется только импортировать куки нашего «КХ» и можно приступать к работе - для этого нужно нажать сочетание клавиш Ctrl+Alt+X.

Выбрать из списка нашу сессию по имени что мы дали ей вначале и нажать на иконку папки:

Выбрать файл с нашими куками в проводнике и нажать открыть:

В этом окне нажать кнопку «import»:

После чего мы получим вот такое сообщение, что говорит нам об успешности импорта куков и мы можем приступать к работе:

В этом окне выбираем нашу сессию (в моем случае это Untlitied) и нажимаем на нее.

На этом настройка программы Linken Sphere с сервисом 911.re закончена.

Работа с криптологами

В работе с криптологами очень важно иметь доступ к почте. Поэтому, в случае если же вы нашли лог по запросу крипты, СРАЗУ ЖЕ бегите проверять почту. Ибо в 90% случаев информация, подтверждение о логировании, о выводе средств падает на почту. Если, к примеру, не имея доступа к почте у нас всё равно есть возможность обработать логи Пейпал, Ибей и другие, то в этом случае не будет возможности банально попасть на аккаунт.

Холодные кошельки в логах со стиллера сохраняются в отдельной папочке Coins и имеют формат wallet.dat. Для того, чтобы проверить их на содержимое, нужно открыть wallet.dat через обычный блокнот.

Перед нами откроется код кошелька. Поиском по тексту (CTRL+F) ищем «name».

Name - это и есть адрес кошелька, который скрыт в этой папочке. И теперь, копируя полученный адрес, мы можем проверить его содержимое на бирже. Есть монеты, у которых нет своего блокчейна, в таком случае, прибегнуть к этому варианту не выйдет.

В данном примере, копируем значение «XXs3Mduh8kxPbgqFQKwGWYM9YjH5R6SYbK»

Теперь идем в гугл и пишем /имя кошелька/ explorer. В данном случае minexcoin explorer:

Переходим по ссылке, вставляем адрес и видим баланс:

Идем на https://coinmarketcap.com, смотрим, сколько стоит эта монета:

В данном случае это копейки, и не стОит даже заморачиваться с выводом. Если деньги есть, то качайте кошелек монеты с офф. сайта - пишите в гугле «Minexcoin wallet», например. Скачали - меняйте файл wallet.dat в папке C:\Users\имякомпа\AppData\Roaming\имя кошелька\ и уже с помощью кошелька выводите куда вам хочется. Если вы захотите, чтобы этим занялся спец, можете прибегнуть к помощи @RobertLutece. Человек проверенный.

Кстати, непопулярные монеты есть не на всех биржах. Чтобы узнать, куда нам можно вывести монеты, нужно посмотреть, где торгуется монета. Для этого на том же https://coinmarketcap.com есть раздел чуть ниже:

Тут мы видим биржи, на которых торгуется монета. Заводим там аккаунт, выводим себе монеты. Тут думаю все просто.

А сейчас вы поймете, почему в функциях стиллера так необходимо иметь фонт-граббер файлов. В Азоре есть очень гибкая настройка для граббинга файлов - можно задавать путь, тип файла, максимальный размер и т.д. Под всё подряд настраивать не нужно, вполне достаточно настроить на .txt и .doc с рабочего стола. Почему-то многим жертвам нравится хранить там данные, а иногда и подписывать что от чего. :)

Идем по порядку. Первое, что видим в этом примере - это 12 слов для восстановления блокчейн кошелька. Также выше есть логин, но нет пароля. Пароль, к слову, скорее всего подойдет от файла с логами/пассами. Но сейчас не об этом.

Если есть 12 слов, то мы можем не искать пасс, а сразу восстановить средства. Для этого идем на https://login.blockchain.com/#/login

Вводим 12 слов:

Придумываем от балды почту, пароль, ставим галочку:

Попадаем в кошель. Ну и, соответственно, можем спокойно вывести то, что есть.

Далее, допустим в текстовом файле есть такая вот вещь:

Monero для логина генерирует приватный ключ. Поэтому, если видите вот такую картину, значит это и есть сам вход. Действуем по аналогии блокчейна - заходим на сайт, вводим 13 слов (у всех монет количество слов разное) и смотрим баланс. Выводим.

У Эфира же логин для входа может выглядеть вот так:

Идем на сайт myetherwallet.com

Видим баланс. Тут его нет, но всегда еще проверяйте прикреплены ли к адресу токены:

Токены есть , но они нигде не торгуются. Если бы имели ценность , то рядом с количеством стояла бы цена . Примерно вот так:

Логины и пароли от бирж и кошельков

Самая сложная часть - чекать логины с паролями. Тут много что надо знать. Я первым делом смотрю куки и, самое главное, есть ли у меня доступ к почте. К обучению приложен парсер для логов и список со всеми возможными сервисами на крипту.

Далее, по списку - загрузили куки, заходим на почту. Следует всегда держать почту открытой, ибо для большинства сайтов требуется подтверждение для входа. Как только вы прочитали письмо, удаляйте его в корзину, а затем и из корзины.

В дополнение я проверяю почту по запросу deposit/withdaw/transfer, т.к. обычно при каких-либо денежных манипуляциях письмо падает на почту и можно понять, с чем мы имеем дело и с какого кошелька начать. Часто на вход стоит дополнительная защита - 2 Factor Auntefication (2FA).

Это 6-ти значный код, который нужно ввести в спец. поле при входе. Для этого нужно искать резервную копию этого самого кода. Она может быть как в текстовом варианте, так и в виде QR кода. Найти его можно где угодно - смотрим гугл драйв, гугл фото, гугл доки, почту. Бывало такое, что чтобы расковырять какой-либо лог мне необходимо было несколько часов. Если же мы находим те самые 2фа, то скачиваем себе на телефон приложение Google Autentification, сканируем код или вписываем текст, и теперь у нас на телефоне генерируется 6-ти значный код - такой же, как и на телефоне хозяина акка.

В дополнение к паролям - если есть гугл аккаунт, то пароли можно поискать по ссылке passwords.google.com. Пароли будут скрыты за глазиком. В том числе эти пароли сохраняются с Андроид-устройств, что добавляет возможности найти интересное