Kaspersky

Remcos RAT и Amadey c2 на IP 217.8.117.76 [MOVED]

  • 7 March 2020
  • 0 replies
  • 172 views

Здравствуйте Я нашел вредоносное ПО на IP 217.8.117.76. Я проверил контакт со злоупотреблением RIPE, и это злоупотребление@grandcosmetic2.ru. 
 Он принадлежит компании-носителю кукол, называемой Общественным торговым домом «ГРАНДКОСМЕТИК», поставщиком услуг Интернет-провайдера VDS является Crex Fex Pex Internet System Solutions LLC. Когда я подошел к ним по этому вопросу, они использовали ругательные слова на меня. 

Moй отчет - вместо того, чтобы сосредоточиться на вредоносном ПО, они спросили меня, не являюсь ли я его жертвой.

 Oни сказали мне, что отчет был признан 
 На следующий день я спросил, почему все еще работает контрольный центр AMADEY 
 Вместо того, чтобы сосредоточиться на решении проблемы, меня высмеивают за мой плохой русский. и почему я использую mail.ru, если я не русский. 
Я прошу сосредоточиться на проблеме, о которой я сообщил, а не на моих способностях к языковым навыкам. 

человек буквально сдался и признал, что он киберпреступник, проклиная, из-за моей настойчивости.

 Пожалуйста, Касперский, заблокируйте их весь диапазон IP-адресов 217.8.117.0/24 “Торговый дом ГРАДКОСМЕТИК” - Это организация марионетка, зарегистрированная специально для распространения вредоносных программ, фишинга и мошенничества. Я видел Predator The Thief, Remcos RAT, Amadey C2, поддельные крипто-сайты и так далее на 
AS47510 - CREXFEXPEX-RUSSIA, RU

 

У меня есть заголовки электронной почты для доказательства. Я сейчас веду дело с российской полицией.

 

Re: remcos rat - amaday c2 217.8.117.76

Торговый дом ГРАДКОСМЕТИК - Технический отдел

Вчера, 19:40

Кому: вам

Привет.

Спасибо за обращение. Нxxxx это в стороне Болгарии - если вы еще не поняли.

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

вся переписка

Lambrion 6 марта 2020, 16:38

Привет,

 

Спасибо за подтверждение моих предположений, что вы киберпреступника.

Tы думаешь россия это дикий запад?

 

Без уважением,

Ламбрион

 

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>6 марта 2020, 19:21

Привет,
Почему вы не идете нxxxx и уклоняетесь от реальной проблемы? Или болгары плохо понимают? Ваш IP хорошо виден.
По всем 3 вопросам вам нужно идти нxxxx - там найдете все ответы.
 

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

Lambrion 6 марта 2020, 16:13

Привет,

 

Кто может и не может использовать mail.ru, не касается нашего разговора!
(Eсли вы читаете пользовательское соглашение, Вы увидите, что mail.ru доступен по всему миру.)

В любом случае это не Ваша забота!

Почему вы задаете мне неуместные вопросы и уклоняетесь от реальной проблемы?

  1. Что такое Гранд Косметик?
  2. Почему сеть в вашей юрисдикции является выгребной ямой, мошенничеством и фишингом?
  3. У Grand Cosmetic есть даже офис, телефон, сотрудники или мнимая марионетка, зарегистрированная только для интернет-преступлений?

Попробуйте ответить на них и не вести разговор в соответствующих областях.

 

С уважением,

Ламбрион

 

 

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>6 марта 2020, 15:49

Если вы не гражданин РФ, то зачем пишите с почты mail.ru. Эта почта в основном используется только гражданами РФ.

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

Lambrion 6 марта 2020, 5:21

Привет,

 

Большое спасибо за быстрый ответ.

Извините меня, Русский не мой родной язык. И мои языковые способности не в тему.

 

Kогда я пытаюсь открыть сайт гранд косметики, ничего не происходит.

Мне было любопытно, какова природа и цель этого веб-сайта? (кроме обслуживания вредоносного ПО)

 

У меня нет ФИО, я не гражданин России.

 

С уважением,

Ламбрион

 

 


 

 

 

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>6 марта 2020, 8:01

Здравствуйте.

В соответствии с федеральным законом, вы можете оставить нам обращение в электронном виде. Для этого составьте письмо в PDF по форме со стандартным заголовком запроса.
Обязательно укажите свои ФИО, номер паспорта и обратный адрес для ответа. Наш юридический отдел пришлет вам официальный ответ на запрос в бумажном виде.


P.S. Ваш русский "замечательный!".

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

Lambrion 6 марта 2020, 4:13

Привет,

Спасибо за удаление исполняемого файла (remcos RAT).


Однако связь центра управления и контроля все еще жива (amadey)

 

curl -o /dev/null -s -w "%{http_code}\n" 217.8.117.76/tools/ports/apps/login.php
200
 

В вашей юрисдикции снова есть два поддельных сайта, которые выдают себя за Риппла и Стеллара.


Кто контролирует безопасность этого IP-адреса (почему так много мошеннических действий?)
 

Что такое Грандкосметик? у вас есть офис, где я мог бы посетить?

 


 

 

 

 

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>5 марта 2020, 18:31

Спасибо, мы приняли к сведению ваш ответ.

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

Lambrion 5 марта 2020, 15:25

Привет,

Я любителей охотник на вредоносных программ и фишинг. Я не жертва.
Я сообщаю о мошенниках властям и соответствующим лицам (хостинг, регистратор доменов и т. д.

Мои данные в безопасности.

Я надеюсь на ваше сотрудничество.

Спасибо за быстрый ответ!

 

 


 

 

 

 

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>5 марта 2020, 18:09

Здравствуйте.

Вы пострадали от действия этого вредоносного софта?

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

Lambrion 5 марта 2020, 15:07

Привет,

этот IP используется для распространения вредоносных программ.

☣️ 217.8.117.76/yesis.exe
☣️ 217.8.117.76/tools/ports/apps/login.php

 

Hi, this IP is used to distribute malware.

 

 

 

 

 

 inetnum: 217.8.117.0 - 217.8.117.255 netname: grandcosmetic org: ORG-OOOT1-RIPE country: RU admin-c: OK3956-RIPE tech-c: AH12689-RIPE abuse-c: ACRO26158-RIPE status: ASSIGNED PA mnt-by: mnt-ru-crexfexpex-1 created: 2019-09-19T01:00:36Z last-modified: 2019-09-19T03:14:16Z source: RIPE organisation: ORG-OOOT1-RIPE org-name: Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom 'GRANDCOSMETIC' org-type: OTHER address: Nizhny Novgorod, street Chaadaeva 44A, room 4 door 12 abuse-c: ACRO26158-RIPE language: RU geoloc: 56.32867 44.00205 mnt-ref: mnt-ru-crexfexpex-1 mnt-by: mnt-ru-crexfexpex-1 created: 2019-07-31T02:54:24Z last-modified: 2020-03-04T07:23:39Z source: RIPE # Filtered person: Arsen Hadjiev address: Embankment of Krutitskaya 19 address: 115088 address: Moscow address: RUSSIAN FEDERATION phone: +74997530416 fax-no: +74997530416 remarks: TITLE: Chief Technical Abuse Officer of Crex Fex Pex Internet System Solutions LLC nic-hdl: AH12689-RIPE mnt-by: mnt-ru-crexfexpex-1 created: 2018-09-26T07:37:41Z last-modified: 2018-12-11T23:21:07Z source: RIPE # Filtered person: Olga Kubareva address: Embankment of Krutitskaya 19 address: 115088 address: Moscow address: RUSSIAN FEDERATION phone: +74997530416 fax-no: +74997530416 remarks: If you want receive reply, please remove text "+remove_this_text_before_send" remarks: otherwise your email will be count as SPAM and will be ignored remarks: TITLE: Chief Executive Officer of Crex Fex Pex Internet System Solutions LLC remarks: >>> PLEASE NOTE, THIS CONTACT IS REPLY FOR BUSINESS INQUIRY ONLY! <<< nic-hdl: OK3956-RIPE mnt-by: mnt-ru-crexfexpex-1 created: 2018-09-26T07:37:41Z last-modified: 2019-01-09T08:06:58Z source: RIPE # Filtered route: 217.8.117.0/24 origin: AS47510 mnt-by: mnt-ru-crexfexpex-1 created: 2019-10-08T16:34:56Z last-modified: 2019-10-08T16:34:56Z source: RIPE

 

Mod Edit: foul language.


0 replies

Be the first to reply! / Ответьте первым!

Reply / Ответить