Что бы заполучить доверие пользователя мошенник публикует примерно следующее:
По ссылке — программа с интерфейсом в стиле winrar. Мне попалось 2 таких «архива», с той лишь разницей, что один написан на Delphi, а другой на C#
Первый:
MD5: 4268f3ee48ffdb8e2f15a425db1698f1 | VirusTotal
Я не представляю как можно было сделать такое для массового распространения и ещё больше удивляюсь как народ ведётся на это! Ну да ладно, откроем программу в IDR и можем наблюдать следующее:
Тут создаётся список паролей для последующей проверки, в результате в зависимости от пароля в текстовый файл сохраняется результат матча:
Второй семпл намного интереснее:
MD5: df307eadcf17025abfdd0a1780f4b1e0 | VirusTotal
Тут дизайн на много лучше и по функционалу не уступает, даже есть преобразование пароля:
Тут всё просто, возьмём для примера пароль из исходника: rtfgyudf, сделаем обратное преобразование и получим: rtyufgdf
Как видно, мошенники изобретают всё новые и новые способы обмана, будте бдительны и не видитесь на подобное!
Комментарии (25)
ice2heart
16.03.2016 13:51Если мне не изменяет память на баше была похожий развод, только там был архив и эксель таблица, пароль был для таблицы, который проставлял значения.
Ernado
16.03.2016 15:36Подозрения должны бы были возникнуть еще в тот момент, когда нажав правой кнопкой по "архиву" пользователь бы не увидел стандартных пунктов "extract", "extract to...", etc. Ну и в принципе, скачивать, а тем более запускать неясного происхождения экзешники — как-то не умно совсем.
oPOCCOMAXAo
16.03.2016 17:09-1у самораспаковывающихся архивов нет таких пунктов
sergiks
16.03.2016 16:06+2А нет стандартных архиваторов, которые распаковывают, в зависимости от пароля, разный контент? А-ла TrueCrypt с его hidden volume, только с бОльшим числом вариантов.
Smi1e
16.03.2016 17:19+1Архиваторы сжимают. Это — их основное назначение. Если делать несколько блоков, видимых при разных условиях, это скажется на конечном объеме файла и визуально будет выглядеть подозрительно, чего не скажешь про ПО для шифрования, которое позволяет задать фиксированный размер контейнера, заведомо бОльший любых данных внутри. Это ИМХО.
sergiks
16.03.2016 23:04Архиваторы сжимают и, опционально, шифруют. Возможно, имея несколько блоков, их можно скомпрессировать так, что общий объём архива вырастет менее, чем пропорционально числу блоков. Особенно, если различия между «версиями» незначительны, по сравнению с совпадающей частью (например, большая веб-страница с картинками и прочими assets, где отличается только название выигравшей команды, как в случае ТС).
Smi1e
16.03.2016 23:15+1Никто не спорит, что это возможно и в отдельных ситуациях будет работать. Я к тому, что вряд ли разработчики архиваторов задавались целью реализовать такую специфическую функцию, не относящуюся к прямым задачам ПО данного класса.
RomanPyr
20.03.2016 03:20+1А зачем так заморачиваться с софтом?
Создаём две одинаковые группы, в каждой выкладываем обычный архив с РАЗНЫМИ результатами.
Какая-та группа угадает и её пользователи купят будущий архив.
Для пущего эффекта можно добавить уровней :)))
Классика же.
zuborg
Почему-то мне кажется, что у аудитории хабра такая статья вызовет не реакцию "ого, какие мошенники хитрые, а ведь мог попасться", а скорее "интересно, и кто на такое ведется вообще?"
HeadWithoutBrains
А по моему прикольно сделали. На такое точно кто-то попадется, выглядит эффектно имхо :)
format1981
И на это ведутся, я знаю точно. У моего приятеля вся бригада электриков скидывается и покупает будущие результаты. Платят за это 500-3000 рублей. То есть если раскидать на 5-10 человек, то выходит не так уж много.
Я пытался объяснить им что это развод, но никакие уговоры не помогают.
А с таким лжеархивом разводить еще проще.
HeadWithoutBrains
Ну вот я подумал, что мог бы и не догадаться, что от пароля зависит результат :) Теперь точно буду знать
und
Ага, RAR архив, а расширение EXE. Чет подозрительно.
mwizard
Что подозрительного в SFX-архивах как таковых? Подозрительно, если архиватор не признает в SFX сам архив.
und
А вас не смущает, когда написнао RAR архив, а там ЕХЕ? Ну зачем оно нужно? Были раньше такие сайты с музыкой…
mwizard
Ну, RAR-архивы бывают с расширением EXE — самораспаковывающиеся, они же SFX (self-extracting). Хуже, когда это whatever.mp3.exe.
M_org
Необходимость в sfx архивах околонулевая. Уж точно не для таких целей — максимум простенький инсталлер. Так что это очень, очень заведомо подозрительно.
mwizard
Когда-то были времена, когда еще не существовало ни инсталляторов, ни толком Windows, жесткие диски были маленькими, а найти нужный разархиватор для экзотического формата типа rar было не так просто. Поэтому если бы не было необходимости в SFX-архивах, то их бы и не реализовывали лидеры индустрии — ARJ, например, или HA.
M_org
Спасибо за экскурс в историю, правда зачем вы его проводили? Очевидно, я про сегодняшний день говорил.