7:50
16/3/2018

14 marca zatrzymany został Tomasz T., czytelnikom Niebezpiecznika znany pod pseudonimem Armaged0n (aka Thomas). Osoba stojąca za dziesiątkami kampanii e-mailowych infekujących Polaków złośliwym oprogramowaniem. Przeszukano także mieszkanie Tomasza T. w Belgii. Wczorajszy dzień przejdzie do historii polskiej cyberprzestępczości. Pogratulujmy więc polskiej policji i przypomnijmy sylwetkę Armaged0na, gdyż postać to była barwna.

Już pierwszym komentarzem doprowadził do deanonimizacji

O Armaged0nie pierwszy raz napisaliśmy na Niebezpieczniku 6 lat temu, we wrześniu 2012 roku, kiedy podszywał się pod Allegro i poprzez stronę http://www.odzyskaj-allegro.tk nie tyle wyłudzał hasła do kont, co infekował złośliwym oprogramowaniem.

Pod tamtym artykułem odezwał się ktoś używający pseudonimu Armaged0n i pochwalił nas, że jako jedyni zauważyliśmy, że nie był to phishing. Autor złośliwej kampanii w komentarzu potwierdził także nasze przypuszczenia, że wcześniejsze kampanie podszywające się pod markę Kaspersky także były jego autorstwa i …zdradził skuteczność swoich ataków, wklejając link do screena z ich podsumowaniem (link ten wciąż działa):

Nie był to mądry ruch Aramged0na, bo jak możecie zauważyć, na pasku adresowym jest otwarta rozmowa na Skype z niejakim Filipem Tujaką, który okazał się być …kontem brata naszego bohatera wykorzystywanym przez Tomasza do zakupu złośliwego oprogramowania. To dlaczego korzystał z konta brata pozostaje dla nas zagadką.

Dodajmy że to nie jedyna opsecowa wpadka Armaged0na — komentarz dodał z adresu IP belgijskiego operatora. Podobnie jak i kolejne komentarze, jakie zostawił w naszym serwisie. Niektóre dodawane były z tego samego IP, na który wskazywał Skype Resolver dla “ujawnionego” konta Filipa Tujaki. Poniższa wypowiedź Armaged0na z perspektywy czasu pięknie pokazuje, co planował i jak dalekie od rzeczywistości te plany były:

Po zostawionych w zrzucie ekranu śladach, które opisaliśmy w kolejnym artykule poświęconym Armaged0nowi, został on pięknie zdeanonimizowany przez czytelników Niebezpiecznika:

Po tej społecznej deanonimizacji, Aramged0n zmienił adres IP na … adres swojego serwera C&C :D

Rozsyłane przez niego w 2012 roku kampanie bazowały na domenach .tk (bo były darmowe) i infekowały ofiary złośliwym oprogramowaniem, które Armaged0n pozyskiwał z for dla początkujących przestępców komputerowych (korzystając również z nicka the.xAx — polecamy lekturę wszystkich postów, są pasjonujące).

Jak widzicie, w zasadzie po komentarzch pod tamtym postem z 2012 roku policja posiadała komplet danych. Szkoda, że ujęcie Tomasza zajęło 6 lat… bo przez te lata początkowo kiepska wiedza 17 letniego przestępcy rosła i złośliwych kampanii i ofiar przybywało. Niestety, jak to w życiu bywa, praca śledczych nie zawsze jest łatwa, jeśli przestępca jest w innym kraju. A Tomasz przebywał w Belgii i operacja jego zatrzymania wymagała rozwiązania wielu problemów natury formalnej (to taka informacja dla tych, którzy chcą krytykować służby za czas działania).

Armaged0n, choć w końcu przestał się udzielać w komentarzach pod naszymi postami opisującymi jego wybryki, ale dalej je uważnie czytał. Świadczy o tym zabawna zmiana, jaka nastąpiła w wysyłanych przez niego e-mailach. W grudniu zaczął je podpisywać jako

“Andrzej Michnik, Sekcja Intendentury Monitoringu,
Dział Bezpieczeństwa i Administracji Serwisowej Facebook.pl”

Dlaczego? Bo miesiąc wcześniej, jeden z Czytelników Niebezpiecznika skrytykował jego kiepski podpis pod e-mailami podszywającymi się pod PayPal, wyrażając zdziwienie, dlaczego są one tak niedorobione:

Armaged0n nie pracował sam?

Wedle nieoficjalnych informacji, jakie pozyskaliśmy 1 marca, policja już wtedy miała pewne informacje na temat poszkodowanych w kampanii zawierającej oprogramowanie szyfrujące dysk twardy ofiarom przy pomocy VortexRansomware. Przestępca domagał się okupu w wysokości 100 dolarów i niektóre ślady wskazywały, że kampania może być powiązana z Armaged0nem.

Jeden z naszych czytelników w końcówce lutego odebrał takiego e-maila od Policji:

a po kontakcie telefonicznym dowiedział się, że chodzi o atak, który opisywaliśmy w artykule pt. Uwaga na e-maile podszywające się pod Dotpay:

Nasz czytelnik nie został zainfekowany, ale po prostu wysłał “pozdrowienia” na adres e-mail zaszyty w ransomware, który ujawniliśmy w naszym artykule. Stąd policja miała jego dane. Policjant e-maila wysłał zapewne do wszystkich, którzy napisali pod przejętą przez policję skrzynkę e-mail.

Teraz już wiemy, że wraz z Armaged0nem zatrzymana została także osoba, która współtworzyła dla niego złośliwe oprogramowanie.

Brawa dla policji!

Policji gratulujemy skuteczności. W tym roku aż 4 bohaterów naszych artykułów zostało zatrzymanych. 2 z tego artykułu, Armaged0n i tajemniczy twórca ransomware’u z którego Armaged0n korzystał, jeden z tego i jeden z tego (o tym Panu więcej napiszemy niebawem).

Czekamy jeszcze na zawinięcie grupy od wyjebek z OLX.


Aktualizacja 16.03.2018, 11:30
Choć rzecznik Policji nie odpowiedział nam jeszcze na przesłane mu wczoraj pytania, to prokuratura już zdążyła udzielić nam obszernych informacji. Wklejamy jej oświadczenie w całości:

Prokuratura Okręgowa w Warszawie wspólnie Komendą Rejonową Policji Warszawa II oraz Biurem do Walki z Cyberprzestępczością Komendy Głównej Policji prowadzi śledztwo dotyczące szeregu oszustw komputerowych, rozsyłania złośliwego oprogramowania, włamań na konta pocztowe, podszywania się pod osoby fizyczne, a także prania brudnych pieniędzy uzyskanych z przestępstw, o których mowa wyżej. Śledztwo obejmuje przestępstwa popełnianie w okresie od 2013 do 2018 r. na szkodę kilku tysięcy użytkowników komputerów korzystających z możliwości jakie daje Internet (opłacanie rachunków, komunikowanie się za pośrednictwem poczty e-mail).
Intensywna praca prokuratora z Prokuratury Okręgowej w Warszawie, policjantów z Komendy Rejonowej Policji Warszawa II oraz Biura do Walki z Cyberprzestępczością KGP pozwoliły na zatrzymanie sprawcy przestępstw, a także ustalenie i wytypowanie osób które miały związek z jego przestępczą działalnością bądź odniosły z niej zysk.
W dniu 14 marca 2018 r. funkcjonariusze Wydziału Operacyjnego Biura do Walki z Cyberprzestępczością KGP przy udziale policjantów z Komendy Wojewódzkiej Policji w Opolu zatrzymali Tomasza T. – obywatela Polski, mieszkającego na stałe w Belgii (znanego jako Thomas lub Armaged0n) odpowiedzialnego za dokonywanie ataków DDOS, rozsyłanie złośliwego oprogramowania przejmującego kontrolę nad zainfekowanymi komputerami lub szyfrującego zawarte na nich pliki.
Ponadto, mając na uwadze poczynione w toku śledztwa ustalenia, iż Tomasz T. dokonywał przestępstw z terenu Belgii, jak też okoliczność, iż w tym kraju może znakować się znaczna ilość dowodów jakie w sprawie należy zabezpieczyć (w tym dane operatorów telekomunikacyjnych, dane dotyczące przepływów na rachunkach bankowych) – prokurator skorzystał z nowej instytucji prawa procesowego i skierował do organów śledczych Belgii tzw. Europejski Nakaz Dochodzeniowy (z instytucji tej polscy prokuratorzy mogą korzystać od lutego tego roku) zawierający wniosek o wykonanie określonych czynności śledczych, w tym przeszukań. Chodziło m.in. o jak najszybsze zabezpieczenie dowodów przestępstw popełnionych przez podejrzanego oraz współdziałające z nim osoby. Czynności zlecone przez polskiego prokuratora, belgijskie organy śledcze zaczęły realizować zaraz po otrzymaniu informacji o zatrzymaniu Tomasza T. Zatrzymano m.in. komputery i inne nośniki danych. Zlecono również inne czynności, które aktualnie są realizowane, a zakres spodziewanych informacji w sposób istotny przyczyni się do pełnego wyjaśnienia mechanizmu działania sprawcy, jak też innych popełnionych przez niego przestępstw, dotychczas nie objętych zarzutami.
Oszustwa komputerowe jakich dopuszczał się podejrzany obejmowały dwa zasadnicze schematy: I. wcześniejszy – 2013
Z poczynionych w toku śledztwa ustaleń wynika, iż podejrzany w grudniu 2013 r. dokonał zakupu kart płatniczych typu pre – paid powiązanych z technicznym rachunkiem bankowym. Karty zostały zakupione na dane Tomasza T. oraz jego wówczas 11 – letniego brata. Wysłano je na adres zamieszkania w Belgii. Rachunki bankowe powiązane z w/w kartami oraz inny rachunek bankowy prowadzony dla Tomasza T. były wykorzystywane w kodzie złośliwego oprogramowania, którym podejrzany infekował komputery pokrzywdzonych. Po zainfekowaniu urządzenia pokrzywdzonego złośliwym oprogramowaniem, w trakcie wykonywanego przelewu kiedy dochodziło do przeklejenia numeru rachunku uprzednio skopiowanego do schowka w pole odbiorcy – następowała zamiana rachunku na który pokrzywdzony realizował przelew bankowy. Rachunkiem tym (na którym trafiały środki) był rachunek prowadzony w banku dla podejrzanego. W ten sposób popełnił kilkadziesiąt przestępstw na łączną kwotę ponad kilkudziesięciu tysięcy złotych.
II. Późniejszy – 2017 (luty 2017 – styczeń 2018)

Ponadto śledztwo obejmuje również inne przestępstwa jakich dopuścił się podejrzany. Tomasz T. podszywał się pod różne znane spółki bądź instytucje, rozsyłając do poszczególnych osób – użytkowników sieci Internet wiadomości e-mail. Po otworzeniu wiadomości, komputer pokrzywdzonego był infekowany za pomocą złośliwego oprogramowania, czym podejrzany uzyskiwał do niego dostęp. Złośliwe oprogramowanie szyfrowało pliki o określonych rozszerzeniach, zamieniając je. Wtedy sprawca w zamian za odszyfrowanie plików domagał się przelania środków na adres portfela bitcoin w kwocie od 200 do 400 dolarów. Następnie w/w środki były przekazywane na portfel użytkownika konta pocztowego, którym jak ustalono był Tomasz T., po czym przez polską giełdę kryptowalut BitBay wymieniane były na Euro i przekazywane na rachunek powiązany z podejrzanym. W ten sposób zaraził kilka tysiącu komputerów i spowodował szkody przekraczające 500 tyś zł.
Podejrzany wysyłając wiadomości podszywał się m.in. pod dużą spółkę telekomunikacyjną, dużą spółkę odzieżową, banki, inne znane spółki, wypożyczalnie samochodów, firmy kurierskie, operatorów pocztowych, adwokatów, Generalnego Inspektora Ochrony Danych Osobowych – a więc takie firmy i instytucje, co do których użytkownicy komputerów nie nabierali podejrzeń przed odczytaniem od w/w nadawców wiadomości e-mail.
W kampaniach, w których podejrzany rozsyłał złośliwe oprogramowanie podszywając się pod firmy i instytucje obejmują m.in. spółkę P4 sp.z.o.o (30.12.2016), sklep ZARA (10.02.2017), PAY U – płatność kartą dla Ciemna City Poland (10.03.2017), Netię (20.03.2017), eBook Multimedia (21.04.2017), Paczkę w Ruch (12.05.2017), Nationale Nederlanden (02.06.2017), Generalnego Inspektora Ochrony Danych Osobowych (23.06.2017), Faktury PKO Leasing (12.07.2017), spółkę Zastępczy Pojazd (19.07.2017), mBank (20.09.2017), Pocztę Polską (10.10.2017), DHL (16.10.2017), adwokata Jerzego C. (11.10.2017), adwokata Andrzeja L. (14.10.2017), Morele.net (24.11.2017), Polkuriera (12.12.2017), Wizz Air (31.12.2017), adwokata Wojciecha W. (10.01.2018) – przy czym słowo kampania w tym przypadku należy rozumieć jako pewien zakres przestępczego działania sprawcy polegający na podszywaniu się przy przesyłaniu wiadomości pod określony podmiot np. kampania związana z podszywaniem się pod GIODO, kampania związana z podszywaniem się pod operatora telekomunikacyjnego.
Zebrany w sprawie materiał dowodowy dał podstawy do przedstawienia Tomaszowi T. łącznie 181 zarzutów popełniania przestępstw takich jak: -prawnie brudnych pieniędzy (przyjęcia i dalszego przekazywania środków pochodzących z popełnianych przez niego przestępstw, celem utrudniania stwierdzenia ich przestępczego pochodzenia) bądź czynienia przygotowania do w/w przestępstwa,
-oszustw komputerowych – w tym przypadku chodziło o infekowanie komputera złośliwym oprogramowaniem zmieniającym numery rachunków bankowych podczas operacji dokonywania przelewu na wpisany przez podejrzanego w kodzie źródłowym, w wyniku czego dochodziło do przelania środków na należące do niego konto ( w ten sposób sprawca działał w 2013 r.),
-wpływania na automatyczne przetwarzanie danych w celu osiągnięcia korzyści majątkowych, w tym przypadku chodziło o przesyłanie na adres poczty e-mail pokrzywdzonych wiadomości, w której podejrzany podszywając się pod inny podmiot, którego dane budziły zaufanie użytkownika komputera, przesyłał złośliwe oprogramowanie ransomware w postaci wirusa określonego jako Polski Ransomware, Vortex lub Floter, w celu zainfekowania złośliwym oprogramowaniem, które szyfrowało dane informatyczne znajdujące się na komputerze utrudniając użytkownikowi dostęp do nich, po czym żądał opłaty za przesłanie klucza deszyfrującego dane. Klienci nie mając dostępu dla istotnych dla nich danych decydowali się na zapłatę pieniędzy.
Ustalono przy tym, że podejrzany z popełniania w/w przestępstw uczynił sobie stałe źródło dochodów, a więc działał w warunkach określonych w art. 65 § 1 kk. (co np. daje możliwość zaostrzenia kary).
Ustalenie sprawcy możliwe było dzięki bliskiej współpracy – zainicjowanej podczas ćwiczeń CYBERPOL Prokuratury Okręgowej w Warszawie, Biura do Walki z Cyberprzestępczością Komendy Głównej Policji, oraz zespołu reagowania na incydenty sieciowe CERT Polska w NASK w państwowym instytucie badawczym NASK, który prowadzi prace badawcze, analityczne i koordynacyjne w przypadku zgłaszanych cyberazgrożeń. Ponadto dzięki współpracy z Prokuraturą w Belgii skoordynowano zatrzymanie Tomasza T. w Polsce z przeszukaniami i zatrzymaniami jego komputerów i nośników danych w Belgii, gdzie Tomasz T. zamieszkiwał wraz z rodziną (czynności zostały wykonane na podstawie Europejskiego Nakazu Dochodzeniowego)
Ponadto na tym etapie śledztwa udało się ustalić miejsce przechowywania (serwer) oraz uzyskać klucze umożliwiające odszyfrowanie komputerów zaszyfrowanych w kampaniach, w których podejrzany podszył się pod Generalnego Inspektora Ochrony Danych Osobowych oraz Zastępczy Pojazd.
Podejrzany przesłuchany przez prokuratora przyznał się do zarzucanych mu czynów i złożył wyjaśniania.
Po wykonaniu czynności procesowych, prokurator skierował wniosek o zastosowanie wobec Tomasza T. tymczasowego aresztowania na okres 3 miesięcy.
Jednocześnie Prokuratura Okręgowa w Warszawie informuje, iż osoby pokrzywdzone we wskazanych kampaniach powinny się zgłaszać do właściwych, z uwagi na miejsce zamieszkania jednostek policji i składać zawiadomienia o przestępstwie, podając dane kampanii, adres IP oraz ID komputera oraz zaszyfrowanych plików. Powyższe umożliwi przekazanie pokrzywdzonym kluczy do zaszyfrowanych plików.
SPRAWĘ PROWADZI WYDZIAŁ II PROKURATURY OKREGOWEJ W WARSZAWIE

Na podstawie powyższego oświadczenia doprecyzowaliśmy akapit dotyczący zatrzymania osoby, która tworzyła złośliwe oprogramowanie wykorzystywane przez Armaged0na oraz uściśliliśmy, że Tomasz T. nie został zatrzymany w Belgii a w Polsce — działania policji w Belgii dotyczyły jedynie przeszukania jego mieszkania.

Przeczytaj także:

84 komentarzy

Dodaj komentarz
  1. no cóż, brawo. ps w kiciu mają darmowe wifi ?

    • Kilka anten na pewno się znajdzie.

    • NIe wiem z czego tu się cieszyć ? Że gościu chciał sobie trochę dorobić ,żeby godnie żyć ? Jak się ludzie nabierają, są tak głupi , to jest tylko i wyłącznie ich wina .

      Co innego gdyby oszukiwał osoby starsze, gwałcił , mordował- tu pełna zgoda . Kara śmierci , lub dożywocie …

    • To do jakiego wieku mógłby dobierać ‘ofiary’ żebyś nie miał problemu z oszustwem?

    • Alibabo, wszystko ok?

    • B&B 2018.03.16 13:27
      Do 50 lat . Dodatkowo kierować się stanem majątkowym ofiar, czyli nie oszukiwać biedaków, osoby schorowane , samotne matki itd. Idealne cele to obcokrajowcy , żeby swoim rodakom nie szkodzić :) . Część sprawców ma kodeks honorowy, granicę ,której nie przekroczą:)

      Dawid 2018.03.16 13:32
      Skoro pisze , to chyba jeszcze ok :)

    • @alibaba, pomyśl nad lekkim limitem na spacji, bo tego się nie da czytać.
      Inna sprawa, że sam przekaz też nie najwyższych lotów.

    • J0hn
      To taki kamuflaż …
      Założę lepiej srebrny , może chodź raz skończę jako drugi :)

    • Alibaba- to prawie jak Robin, kradnę bogatym i daję sobie bom biedny. Co nie zmienia faktu, że to nadal jest złodziejstwo. Są kraje, gdzie za kradzież ucinają ręce bądź złodziej dostaje bęcki kamieniami, pałami lub samochodem, a w najlepszym wypadku kończy sie na złamaniu gitary bądź stygmacie na dłoni z pistoletu. Kradzież to kradzież, nie ważne czy babci na wnuczka czy prezesowi firmy.

  2. Redakcjo, mam prośbę.

    Czy przy okazji tego wydarzenia (o którym w najbliższych dniach będzie pewnie jeszcze głośno), moglibyście podkreślać rolę dostawcy ISP który z żelazną lojalnością wspierał bohatera artykułu we wszystkich jego kampaniach, odmawiał reakcji na zgłoszenia (mimo kompletu informacji podanych na tacy włącznie z numerami IP pod którymi funkcjonują złośliwe strony)?

    Niech to wydarzenie będzie dobrą okazją do odpowiedniej reklamy tego przedsiębiorstwa i jego marki.

    Pozdrawiam
    Werner

    • Reklamy dla kolejnych przestepców, by wiedzieli u kogo będą bezpieczni?

  3. 6 lat. Brak słów.

  4. NIEWIARYGODNY SUCKES BIURA DO SPRAW CYBERPRZESTĘPCZOSCI I CALEJ SPOLECZNOSCI SEC W POLSCE.

    6 lat zajelo zatrzymanie kolesia ktory sam udostępnil swoje nazwisko na screenshocie w 2012 roku. Niesamowite nie wiem co powiedzieć.

    TEN DZIEN PRZEJDZIE DO HISTORII.

  5. iksssdeedede
    Jakie brawa dla polskiej policji, jak ziomeczki z niebezpiecznika namierzyli goscia a polskiej policji zatrzymanie zajelo 6 lat. Dobrze ze pilnuja porzadku i na pustej ulicy gdzie nic nie jedzie wlepiają dzieciakom mandaty za przejście na czerwonym, ale artykuł nadal jakościowy :D

    • Może najpierw sprawdź jakie możliwości zatrzymania ma polska policja za terenie Belgii ;-) “Kwity” na tego Pana były od sprzedwojny…

    • Widzisz, powinni zajmować się czymś innym a nie mandatami dla dzieciaków, bo przez to masz psypau u mamy, szlaban na CSa i brak kieszonkowego.

    • > Może najpierw sprawdź jakie możliwości zatrzymania ma polska policja za
      > terenie Belgii ;-)

      Polska policja nie ma możliwości zatrzymywania ludzi w innych państwach. I słusznie. Podobnie jak belgijska policja nie ma żadnych możliwości zatrzymywania ludzi na terytorium Polski.

      > “Kwity” na tego Pana były od sprzedwojny…

      Jeżeli wiadomo było że ukrywa się w Belgii i znane były jego dane osobowe, to:
      1. dlaczego nie zwrócono się do Belgów w ramach MLAT (nawet jeśli nie obowiązywało jeszcze END)
      2. dlaczego nie wystawiono ENA
      ?

      Poza tym zmieńcie tytuł – ten pan został zatrzymany, nie aresztowany.

    • @siudak
      Obca policja moze ci nawet odstrzelic leb pod twoim wlasnym domem (ustawa 1066).

  6. Double fail. Nie umie ukryć paska zadań windows lub powłoki gdzie jest domyślnie ukryty. Używa starego Windowsa XP zamiast Linuxa. W końcu nie używa Tora i używa szpiegowskiego Skype, zamiast np. discord.gg z poziomu Tora.

    Jedyny komentarz jaki się nasuwa to “quadruple facepalm”, bo jeden facepalm to za mało. Więc policja nie miała tu wiele do roboty.

    • Z Windowsa XP korzystał w 2012 r., kiedy jeszcze był wspierany, a Discord nie istniał!

  7. Kiedyś w PC Formacie albo KŚ (obecnie nie pamiętam) coś było o phishingu z odzyskaj-allegro.tk…

  8. No szkoda, szkoda, zabraknie mi tych artykułów do kawki…

    > Czekamy jeszcze na zawinięcie grupy od wyjebek z OLX.

    Ciekawie nazwana grupa, nie powiem :P

  9. Nie mówcie mi że kilka lat zajęło policji namierzenie człowieka, który logował się bez Tora i jeszcze ujawnił nazwę konta Skype. Nie mówcie mi tego. Bo przestanę płacić podatki.

    • Znam kolesia, co od ponad dziesięciu lat nie daje się złapać policji za rzekome niepłacenie alimentów. Alimenty płacił, ale swojej byłej do ręki, a ta tego nie zgłaszała. Tak czy siak policja nie może go odnaleźć, mimo iż co bodaj dwa miesiące jest w PUPie, intensywnie korzysta z publicznej służby zdrowia i wszędzie, gdzie tego wymagano zostawiał swój aktualny adres zamieszkania, w tym we wszystkich urzędach.
      Polska policja jest leniwa, niekompetentna i niezwykle głupia…

  10. 6 lat, masakra że tak wolno.
    Lepiej niech złapią złodzieja z bitcurexu i kasę oddadzą, a nie płotki łapią po 6 latach.

  11. z tym że nazwisko osoby oskarżonej … nie powinno być publikowane

    • No ale nigdzie nie ma podanego nazwiska Tomasza T., owszem jest wzmianka o jego bracie Filipie ale on nie jest oskarżony i jego nazwisko może być podane. :)

    • I nie jest. To nazwisko jego brata.

    • nie no Panowie, mi to tito, ale jest takie duże pierwsze zdjęcie z nazwiskiem chyba

    • Hehehe, faktycznie, ominąłem je czytając artykuł

    • no inne kwestia że zdjęcie to Piotra https://s1.kozaczek.pl/2012/09/magik-z-synem-filipem.jpg

  12. Czyli piszecie, że ci co stali się ofiarą Vortex Ransomware mają szanse na deszyfrację? Wystarczy zgłosić się do KSP? Nie wysyłałem emaila pod adres wskazany w instrukcji, tylko czekałem na jakieś ogólno dostępne rozwiązanie na tego ransomware.

    • Odezwij się – przekażemy info gdzie się kontaktować

  13. ja się tylko zastanawiam czemu Wy zanonimizowaliście zdjęcie z tła fesjbukowego profilu tego pana? Przecież tam jest Piotr “Magik” Łuszcz z PFK, a on to jest raczej znany publicznie :)

  14. Tomasz T. brat Filipa Tujaka? I see what you did here. >]

    • Tak jak “Sławomir W. syn byłego prezydenta Lecha Wałęsy” (to był chyba pierwszy głośny przypadek takiej kombinacji).

    • Chyba jeszcze wczesniej był “syn znanego polskiego astronauty” (jakbyśmy mieli ich na pęczki:P)

  15. 6 lat, aby zatrzymać niechluja. Ciekawe ile zajmie zatrzymanie tych co rzeczywiście mają głowę na karku. Anyway, bezpiecznie już było. Teraz już będzie tylko gorzej.

  16. Co do krytykowania, że gość się “źle podpisywał” czy robił “mało wiarygodne copy”. Przecież dzięki temu jego ofiarami stawały się osoby, u których było mniejsze prawdopodobieństwo, że się zorientują co im się stało.

    To jak ze scamem wszelkiego rodzaju. Tworzysz oczywistye błędy, których nie zauważą tylko te ofiary, które dają najlepszy potencjał na dalsze wykorzystanie. Taki odsiew naturalny.

    • Zawsze miałem wątpliwości co do tego typu rozumowania i uznaję je za bezrefleksyjnie powielaną kliszę gdzieś przeczytaną w sieci.

      “Przecież dzięki temu jego ofiarami stawały się osoby, u których było mniejsze prawdopodobieństwo, że się zorientują co im się stało” – brak polskich znaków zdarzał się często w wiadomościach zawierających droppery, których payloadem był ransomware – chyba wskazane jest, żeby ofiara się zorientowała, że padła ofiarą ransomware, hm?

      Sądzę, że nie należy “mnożyć bytów ponad potrzebę” i uświadomić sobie, że urodzony w ’95 milenials (i jemu podobni), który łyknął trochę technikaliów, z dużym prawdopodobieństwem był w jakimś stopniu językowym ignorantem i nie zwracał uwagi na takie rzeczy jak przestankowanie i polskie znaki (bo do tego głównie piję).

    • Myślę, że gość, który wziął na poważnie intendenturę monitoringu, po prostu tak pisze :D

  17. Czy ktoś wie, czy kodziarz tego ransomeware też może ponieść jakieś konsekwencje?
    Mam nadzieję, że nie.

    • A czemu masz taką nadzieję? Bo ja na przykład uważam, że powinni go potraktować jak gościa, który sprzedaje broń bandytom.

    • Oczywiście, na podstawie ulubionego art KK wszystkich pentesterów

  18. Może alibaba to ten od wyjebek z OLX :D

  19. Hehe. Dobre. W starym magazynie kryminalnym “997” Fajbusiewicz rozdawał zegarki za pomoc w ujęciu poszukiwanych. Ciekawe czy redakcja coś dostanie? ;p

  20. “A Tomasz przebywał w Belgii i operacja jego zatrzymania wymagała rozwiązania wielu problemów natury formalnej (to taka informacja dla tych, którzy chcą krytykować służby za czas działania).”

    Ja się nie czepiam policji, ale przez 6 lat, to można na nowo wybudować WTC…

  21. Dziwię się, że jeszcze nikt nie zwrócił uwagi na screena maila od Policji, w którym proszą ofiary szyfrowania plików o kontakt.
    Czy ja dobrze widzę, że mail został wysłany do wielu użytkowników (na oko przynajmniej kilkunastu, a może kilkuset?) z listą adresów wpisaną w polu “DO”, zamiast “UDW”?
    Czy to się nie kwalifikuje do kolejnej notki na portalu? Zwłaszcza w kontekście nadchodzącej wielkimi krokami RODO? I przeprosin ze strony Policji?

  22. “w tym kraju może znakować się” – polska język trudna język dla organa. 6 lat, kiedy można było gościa przytrzasnąć sprowadzając do kraju pod byle pretekstem (socjotechnika policyjna).
    To ile lat trzeba na zatrzymanie terrorysty krążącego między Belgią a Polską? 3? Czyżby Belgia była rajem dla bandytów (działania dostawcy ISP na to wskazują).

    • Oj tam, oj tam. Zwyczajna autokorekta. Wystarczy, że wpiszesz “znajować”, pomijając “d” – i już pierwsza podpowiedź to właśnie “znakować”. W tym samym tekście dostrzegłam jeszcze jeden podobny efekt działania autokorekty. Konkurs: kto znajdzie? ;-)

    • Takich baboli językowych jest niestety znacznie więcej w oświadczeniu prokuratury. Np. “szkody przekraczające 500 tyś zł”. Jak rozumiem skrót tyś jest od tyśęcy. Albo “Klienci nie mając dostępu dla istotnych dla nich danych decydowali się na zapłatę pieniędzy.” Ofiary szantażu są nazywane klientami przestępcy…

  23. Dopóki nie zostanie mu udowodniona wina, proszę nie mówić, że atakował, tylko, że jest oskarżony o atakowanie.

    Niewinny, dopóki się nie dowiedzie winy.

    • “Podejrzany przesłuchany przez prokuratora przyznał się do zarzucanych mu czynów i złożył wyjaśniania.”

      Przy okazji to wyjaśniania to ta druga autokorekta o której pisał @Sosna

    • Nadal należy go uważać za niewinnego – nawet jeśli się przyznał – do momentu, gdy zapadnie prawomocny wyrok skazujący.

      Przyznanie się nie rozstrzyga o winie. Z różnych przyczyn się zdarza, że ludzie przyznają się do czynów, których nie popełnili.

    • Ten co siedział 18 lat co go właśnie wypuścili też się przyznał.

    • To, że się przyznał, nie znaczy, że jest winny.

  24. Czy policzono już pokrzywdzonych i jaką korzyść z tych oszustw osiągnął? (nie mylić ze szkodami, które spowodował, bo utrata danych to ma swoją wartość, ale ile on na tym “zarobił” przez te 6 lat?)

    • Jak trzymal bity i ich nie wymienial, to nie da sie tego policzyc ;) Bo kurs skacze jak popier**lony ostatnio ;) Wszystko zależy od tego czy, a jeżeli wymienial, to po jakim kursie ;)

  25. Ech, to uczucie, kiedy komentarz napisany pod wpływem chwilowych emocji i z tekstem naprędce wymyślony, stał się elementem wieloletniej pracy policji międzynarodowej zakończonej ujęciem cyberprzestępcy.
    :-)

    • Hahaha, no musiał mieć chłopak niespodzianke :)

  26. Czyta te wszystkie artykuły i komentarze jakiś trzynastoletni Armaged1n i wyciąga wnioski ;)

    • I wyciągnie wniosek, że pójdzie do pierdla, jak będzie miał 19 lat.:)

  27. Wszystkich bezczelnych hackerów surowo karac !!!

    • to wszystko każe nam powiedzieć mocno i stanowczo: parówkowym skrytożercom mówimy NIE!!

    • A nie bezczelnych też, ale trochę łagodniej.

  28. Należałoby jeszcze wspomnieć, że Tomasz T. stał za sklepem notoverpay.pl (było to jakoś pod koniec 2011 roku), sprzedającym jakieś klucze czy inne tego typu artykuły do gier. Oczywiście po zakupie ich nie wysyłał, strona miała sporo błędów i szybko się zawinął (jakoś w 2012) po czym jak widać zmienił troszkę branże.

  29. niebezpiecznik jako honeypoint polskiej policji :) czyli odpada kwalifikacja dziennikarska ( tajemnica dziennikarcka itp itd. ), wiec prosze o sugestie co to jest za dzialalnosc …

    • Też mnie smuci ,że tak słabo redakcja dba o anonimowość osób trudzących się tym zawodem. Przed publikacją wystarczyło usunąć , powycinać wrażliwe dane przestępcy,a nie ułatwiać organom zadania :)

    • Co to jest “honeypoint”?

    • Punkt skupu miodu…

    • Nie honeypoint tylko honeypot … czyli miodek już w sprzedaży na półce ;)

  30. Gdy 2 lata temu niejaki Kajetan P. zabił w Polsce kobietę i uciekł przez Niemcy i Włochy na Maltę to znalezienie i złapanie drania zajęło policji tych krajów kilka dni.
    http://www.fakt.pl/wydarzenia/polska/sh0sbt2
    Był to przykład na to, że gdy polskiej policji zależy na szybkim załatwieniu sprawy to granice państw wewnątrz UE nie stanowią prawie żadnej przeszkody. Trzeba tylko chcieć. Czekanie 6 lat aż koleś łaskawie przyleci z Belgii do Polski jest żałosne.

  31. Gdy myślimy o hakerze mamy wizję kogoś ponadprzeciętnie inteligentnego, wykształconego lub wręcz geniusza komputerowego. Taki obraz wykreowały media, filmy i popkultura. Jak widać “hakerem” może być obecnie każdy. Choć tożsamości tych najlepszych nikt nie pozna. No ale znając życie prawdopodobnie Tomasz jak wyjdzie z pierdla jeszcze napisze książkę, stanie się sławną postacią, zacznie udzielać wywiadów. Heh. Zauważcie dziwną predyspozycję niektórych ludzi do chwalenia się tym że siedzieli w więzieniu. Nie rozumiem z czego to wynika. To tak jakby chwalić się porażką.

    • Tacy nie dają się złapać;)

  32. fajnie ze wiecie o honeypot ale forum to nie honeypot ( chyba ze sie go atakuje ) tylko honeypoint ,gdzie potrzebujacy chawaly moga zrealizowac swoje marzenia o slawie albo udowodnic ze reszta jest slepa, z tresci artykulu mozna wywnioskowac ze redakcja i sluzby jest tozsama w dzialaniach …

  33. Dramat.
    Człowiek się naczyta o zabezpieczeniach, deanonimizacji, torach, vpn-ach, gpg, signalach, truecryptach i innych armatach, z których to rzekomo korzystają przestępcy, i jak to nie trzeba ich zakazywać z tego powodu. A w realu okazuje się jak zwykle. Przystojny macho jest otłuszczonym, zarośniętym staruchem.
    Hakiery – mistrzowie geniuszu i intelektu ponoć korzystający z tych wszystkich złych narzędzi nagle okazują się średnio rozgarniętą gimbazą. Nie używają kompletnie niczego do zabezpieczenia a swoja tożsamość zdradzają publicznie jednym printscreenem.

    Nie mogę się oprzeć wrażeniu, że sytuacja jest trochę z takich jak ta, z tymi typami, którzy wjechali do PlusBanku. Najpierw robimy wyjebkę życia. Potem wychwalimy się na forach jacy to nie jesteśmy zajebiści. Potem się kłócimy ze wspólnikami, żeby potem dzięki gwiazdorzeniu wpaść i sypać siebie nawzajem :)
    Jedyna, różnica, że łepek, który przejął kontrolę nad Plusbankiem nie był skończonym scriptkiddie (bo przejąć bank to jednak jest coś, nawet jak jest to bank zabezpieczony na lvl PlusBank) a pan Tomek był.

  34. Ktoś czytał te wyjaśnienia z prokuratury? Z tej nawały literówek najbardziej śmiechłem z “Ciemna City”.

  35. Ludzi od wyjebek na OLX będzie trudno znaleźć, pewnie same topowe mordy z cebulki

  36. Gratulacje dla sierżanta Grahamki ;-)

  37. Czyżby policjant zapomniał o BCC?

  38. Chłopak to mój sąsiad sprzed 7/8 lat, kiedy mieszkał jeszcze w Polsce. Niestety miał przykre życie za młodu. Z jego ojcem wchodzili w konfilikty w których został użyty nawet gaz pieprzowy.

  39. Obok tych wszystkich komentarzy merytorycznych najbardziej podobała mi się wypowiedź:
    Artur 2012.09.27 09:22 | # |
    “…No i bitcoiny – że też ktoś się jeszcze w to bawi….”

    ;)

  40. Link działa ale nie ten który daliście :>
    https://postimg.cc/image/7g331lsvb/

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.