Jump to content

Recommended Posts

Posted
Здравствуйте Я нашел вредоносное ПО на IP 217.8.117.76. Я проверил контакт со злоупотреблением RIPE, и это злоупотребление@grandcosmetic2.ru. 
 Он принадлежит компании-носителю кукол, называемой Общественным торговым домом «ГРАНДКОСМЕТИК», поставщиком услуг Интернет-провайдера VDS является Crex Fex Pex Internet System Solutions LLC. Когда я подошел к ним по этому вопросу, они использовали ругательные слова на меня. 

Moй отчет - вместо того, чтобы сосредоточиться на вредоносном ПО, они спросили меня, не являюсь ли я его жертвой.

 Oни сказали мне, что отчет был признан 
 На следующий день я спросил, почему все еще работает контрольный центр AMADEY 
 Вместо того, чтобы сосредоточиться на решении проблемы, меня высмеивают за мой плохой русский. и почему я использую mail.ru, если я не русский. 
Я прошу сосредоточиться на проблеме, о которой я сообщил, а не на моих способностях к языковым навыкам. 

человек буквально сдался и признал, что он киберпреступник, проклиная, из-за моей настойчивости.

 Пожалуйста, Касперский, заблокируйте их весь диапазон IP-адресов 217.8.117.0/24 “Торговый дом ГРАДКОСМЕТИК” - Это организация марионетка, зарегистрированная специально для распространения вредоносных программ, фишинга и мошенничества. Я видел Predator The Thief, Remcos RAT, Amadey C2, поддельные крипто-сайты и так далее на 
AS47510 - CREXFEXPEX-RUSSIA, RU

 

У меня есть заголовки электронной почты для доказательства. Я сейчас веду дело с российской полицией.

 

Re: remcos rat - amaday c2 217.8.117.76

Торговый дом ГРАДКОСМЕТИК - Технический отдел

Вчера, 19:40

Кому: вам

Привет.

Спасибо за обращение. Нxxxx это в стороне Болгарии - если вы еще не поняли.

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

вся переписка

Lambrion 6 марта 2020, 16:38

Привет,

 

Спасибо за подтверждение моих предположений, что вы киберпреступника.

Tы думаешь россия это дикий запад?

 

Без уважением,

Ламбрион

 

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>6 марта 2020, 19:21

Привет,
Почему вы не идете нxxxx и уклоняетесь от реальной проблемы? Или болгары плохо понимают? Ваш IP хорошо виден.
По всем 3 вопросам вам нужно идти нxxxx - там найдете все ответы.
 

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

Lambrion 6 марта 2020, 16:13

Привет,

 

Кто может и не может использовать mail.ru, не касается нашего разговора!
(Eсли вы читаете пользовательское соглашение, Вы увидите, что mail.ru доступен по всему миру.)

В любом случае это не Ваша забота!

Почему вы задаете мне неуместные вопросы и уклоняетесь от реальной проблемы?

  1. Что такое Гранд Косметик?
  2. Почему сеть в вашей юрисдикции является выгребной ямой, мошенничеством и фишингом?
  3. У Grand Cosmetic есть даже офис, телефон, сотрудники или мнимая марионетка, зарегистрированная только для интернет-преступлений?

Попробуйте ответить на них и не вести разговор в соответствующих областях.

 

С уважением,

Ламбрион

 

 

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>6 марта 2020, 15:49

Если вы не гражданин РФ, то зачем пишите с почты mail.ru. Эта почта в основном используется только гражданами РФ.

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

Lambrion 6 марта 2020, 5:21

Привет,

 

Большое спасибо за быстрый ответ.

Извините меня, Русский не мой родной язык. И мои языковые способности не в тему.

 

Kогда я пытаюсь открыть сайт гранд косметики, ничего не происходит.

Мне было любопытно, какова природа и цель этого веб-сайта? (кроме обслуживания вредоносного ПО)

 

У меня нет ФИО, я не гражданин России.

 

С уважением,

Ламбрион

 

 


 

 

 

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>6 марта 2020, 8:01

Здравствуйте.

В соответствии с федеральным законом, вы можете оставить нам обращение в электронном виде. Для этого составьте письмо в PDF по форме со стандартным заголовком запроса.
Обязательно укажите свои ФИО, номер паспорта и обратный адрес для ответа. Наш юридический отдел пришлет вам официальный ответ на запрос в бумажном виде.


P.S. Ваш русский "замечательный!".

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

Lambrion 6 марта 2020, 4:13

Привет,

Спасибо за удаление исполняемого файла (remcos RAT).


Однако связь центра управления и контроля все еще жива (amadey)

 

curl -o /dev/null -s -w "%{http_code}\n" 217.8.117.76/tools/ports/apps/login.php
200
 

В вашей юрисдикции снова есть два поддельных сайта, которые выдают себя за Риппла и Стеллара.


Кто контролирует безопасность этого IP-адреса (почему так много мошеннических действий?)
 

Что такое Грандкосметик? у вас есть офис, где я мог бы посетить?

 


 

 

 

 

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>5 марта 2020, 18:31

Спасибо, мы приняли к сведению ваш ответ.

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

Lambrion 5 марта 2020, 15:25

Привет,

Я любителей охотник на вредоносных программ и фишинг. Я не жертва.
Я сообщаю о мошенниках властям и соответствующим лицам (хостинг, регистратор доменов и т. д.

Мои данные в безопасности.

Я надеюсь на ваше сотрудничество.

Спасибо за быстрый ответ!

 

 


 

 

 

 

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>5 марта 2020, 18:09

Здравствуйте.

Вы пострадали от действия этого вредоносного софта?

-- С уважением. Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

Lambrion 5 марта 2020, 15:07

Привет,

этот IP используется для распространения вредоносных программ.

☣ 217.8.117.76/yesis.exe
☣ 217.8.117.76/tools/ports/apps/login.php

 

Hi, this IP is used to distribute malware.

 

 

 

 

 

 inetnum: 217.8.117.0 - 217.8.117.255 netname: grandcosmetic org: ORG-OOOT1-RIPE country: RU admin-c: OK3956-RIPE tech-c: AH12689-RIPE abuse-c: ACRO26158-RIPE status: ASSIGNED PA mnt-by: mnt-ru-crexfexpex-1 created: 2019-09-19T01:00:36Z last-modified: 2019-09-19T03:14:16Z source: RIPE organisation: ORG-OOOT1-RIPE org-name: Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom 'GRANDCOSMETIC' org-type: OTHER address: Nizhny Novgorod, street Chaadaeva 44A, room 4 door 12 abuse-c: ACRO26158-RIPE language: RU geoloc: 56.32867 44.00205 mnt-ref: mnt-ru-crexfexpex-1 mnt-by: mnt-ru-crexfexpex-1 created: 2019-07-31T02:54:24Z last-modified: 2020-03-04T07:23:39Z source: RIPE # Filtered person: Arsen Hadjiev address: Embankment of Krutitskaya 19 address: 115088 address: Moscow address: RUSSIAN FEDERATION phone: +74997530416 fax-no: +74997530416 remarks: TITLE: Chief Technical Abuse Officer of Crex Fex Pex Internet System Solutions LLC nic-hdl: AH12689-RIPE mnt-by: mnt-ru-crexfexpex-1 created: 2018-09-26T07:37:41Z last-modified: 2018-12-11T23:21:07Z source: RIPE # Filtered person: Olga Kubareva address: Embankment of Krutitskaya 19 address: 115088 address: Moscow address: RUSSIAN FEDERATION phone: +74997530416 fax-no: +74997530416 remarks: If you want receive reply, please remove text "+remove_this_text_before_send" remarks: otherwise your email will be count as SPAM and will be ignored remarks: TITLE: Chief Executive Officer of Crex Fex Pex Internet System Solutions LLC remarks: >>> PLEASE NOTE, THIS CONTACT IS REPLY FOR BUSINESS INQUIRY ONLY! <<< nic-hdl: OK3956-RIPE mnt-by: mnt-ru-crexfexpex-1 created: 2018-09-26T07:37:41Z last-modified: 2019-01-09T08:06:58Z source: RIPE # Filtered route: 217.8.117.0/24 origin: AS47510 mnt-by: mnt-ru-crexfexpex-1 created: 2019-10-08T16:34:56Z last-modified: 2019-10-08T16:34:56Z source: RIPE

 

Mod Edit: foul language.

Posted

Fake Ripple site

 

Fake Stellar site

 

(same IP/ASN)

English version added:

1.[?Initial report sent]
   >Lambrion March 5, 2020, 15:07
   >
   >    Hi,
   >    this IP is used to spread malware.
   >    ☣ 217.8.117.76/yesis.exe
   >    ☣ 217.8.117.76/tools/ports/apps/login.php
   >     
   >    Hi, this IP is used to distribute malware.
[⬆First message]
[?Reply recieved]
Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom 'GRANDCOSMETIC' - Technical Department <abuse@grandcosmetic2.ru> March 5, 2020, 18:09

Hello.
Have you been affected by this malware?

-
Sincerely.
Technical Department - Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom  GRANDCOSMETIC.
[⬆First reply]

2.[?Report reply sent]
Lambrion March 5, 2020, 15:25

    > Hello
    > I am a malware hunter and phishing lover. I am not a victim.
    > I report fraud to the authorities and relevant persons (hosting, domain registrar, etc.)
    > My data is safe.
    > I hate hackers.
    > I hope for your cooperation.
    > Thanks for the quick reply!
[⬆Second message]
[?Reply recieved]
Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom 'GRANDCOSMETIC'  - Technical Department <abuse@grandcosmetic2.ru> March 5, 2020, 18:31

Thank you, we took note of your answer.

-
Sincerely.
Technical Department - Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom  GRANDCOSMETIC.
[⬆Second reply]


3.[?Report reply sent]
Lambrion March 6, 2020, 4:13

    > Hello
    > Thanks for deleting the executable file (remcos RAT).
    >
    > However, the communication of the control and control center is still alive (amadey)
    >
    > curl -o / dev / null -s -w "% {http_code} \ n" 217.8.117.76/tools/ports/apps/login.php
    > 200
    >
    > In your jurisdiction again there are two fake sites that impersonate Ripple and Stellara.
    >
    > Who controls the security of this IP address (why are there so many fraudulent activities?)
    >
    > What is Grand Cosmetics? Do you have an office where I could visit?
[⬆Third message]
[?Reply recieved]
Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom 'GRANDCOSMETIC'  - Technical Department <abuse@grandcosmetic2.ru> March 6, 2020, 8:01

Hello.

In accordance with federal law, you can leave us an appeal in electronic form. To do this, compose a letter in PDF form with a standard request header.
Be sure to include your name, passport number and return address for the answer. Our legal department will send you an official response to the request in paper form.


P.S. Your Russian is "wonderful!".

-
Sincerely.
Technical Department - Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom  GRANDCOSMETIC.
[⬆Third reply]


4.[?Report reply sent]
Lambrion March 6, 2020, 5:21

    > Hello
    >
    > Thank you very much for the quick reply.
    > Excuse me, Russian is not my native language. And my language skills are not the topic.
    >
    > When I try to open a website for grand cosmetics, nothing happens.
    > I was curious what is the nature and purpose of this website? (other than serving malware)
    >
    > I do not have a full name, I am not a citizen of Russia.
    >
    > Regards,
    > Lambrion
[⬆fouth message]
[?Reply recieved]
Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom 'GRANDCOSMETIC'  - Technical Department <abuse@grandcosmetic2.ru> March 6, 2020, 15:49

If you are not a citizen of the Russian Federation, then why write to mail.ru. This mail is mainly used only by citizens of the Russian Federation.

-
Sincerely.
Technical Department - Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom  GRANDCOSMETIC.
[⬆fouth reply]


5.[?Report reply sent]
Lambrion March 6, 2020, 16:13

    > Hello
    >
    > Who can and cannot use mail.ru does not concern our conversation!
    > (If you read the user agreement, you will see that mail.ru is available worldwide.)
    > In any case, this is not your concern!
    > Why do you ask me inappropriate questions and shy away from a real problem?
    >
    > 1 What is Grand Cosmetics?
    > 2 Why is a network in your jurisdiction a cesspool, fraud and phishing?
    > 3 Does Grand Cosmetic even have an office, phone, employees, or an imaginary sock-puppet registered only for online crime?
    >
    > Try to answer them and not have a conversation in the relevant areas.
    >
    > Regards,
    > Lambrion
[⬆fifth message]
[?Reply recieved]

Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom 'GRANDCOSMETIC'  - Technical Department <abuse@grandcosmetic2.ru> March 6, 2020, 19:21

Hi,
Why don't you go to hell and dodge the real problem? Or do Bulgarians understand poorly? Your IP is clearly visible.
For all 3 questions you need to go fuck yourself - there you will find all the answers.
 
-
Sincerely.
Technical Department - Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom 'GRANDCOSMETIC'
[⬆fifth reply]


6.[?Report reply sent]
Lambrion March 6, 2020, 16:38

    > Hello
    >
    > Thank you for confirming my assumption that you are a cybercriminal.
    > Do you think Russia is a wild west?
    >
    > Without respect,
    > Lambrion
[⬆sixst message]
[?Reply recieved]

Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom 'GRANDCOSMETIC' - Technical Department <abuse@grandcosmetic2.ru> March 6, 2020, 19:40

Hey.

Thank you for contacting. Fuck you on the side of Bulgaria - if you haven’t understood yet.

-
Sincerely.
Technical Department - Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom  GRANDCOSMETIC.
[⬆sixst reply]


7.[?Report reply sent]
>Re: Remcos rat - amaday c2 217.8.117.76
>    Lambrion
>    Yesterday, 20:01
>    To: Obshhestvo Ogranichennoj Otvetstvennosti Torgoviy Dom 'GRANDCOSMETIC' - Technical Department
>    Hey
>    Easy on swear words. it makes you look like a weak screaming baby.
>     
>    A criminal case may be instituted on the basis of the corpus delicti provided for in Art. 272 and Art. 158 of the Criminal Code of the Russian republic.
>     
>    Lambrion
[⬆last message]    

--------------------------------------------------------------------------------------------------------------------------------------------


Re[2]: remcos rat - amaday c2 217.8.117.76

    Lambrion
    Вчера, 20:01
    Кому: Торговый дом ГРАДКОСМЕТИК - Технический отдел
    Хей,
    Легко на ругательствах. это делает тебя похожим на слабого кричащего ребенка.
     
    Уголовное дело может быть возбуждено на основании состава преступления, предусмотренного ст. 272 и ст. 158 УК РФ.
     
    Ламбрион
     

Delivered-To: urm@mail.ru
Return-path: <abuse@grandcosmetic2.ru>
Authentication-Results: mxs.mail.ru; spf=pass (mx290.i.mail.ru: domain of grandcosmetic2.ru designates 31.31.198.59 as permitted sender) smtp.mailfrom=abuse@grandcosmetic2.ru smtp.helo=server252.hosting.reg.ru
Received-SPF: pass (mx290.i.mail.ru: domain of grandcosmetic2.ru designates 31.31.198.59 as permitted sender) client-ip=31.31.198.59; envelope-from=abuse@grandcosmetic2.ru; helo=server252.hosting.reg.ru;
Received: from server252.hosting.reg.ru ([31.31.198.59]:56478)
    by mx290.i.mail.ru with esmtp (envelope-from <abuse@grandcosmetic2.ru>)
    id 1jAGxR-0002Hg-Td
    for urm@mail.ru; Fri, 06 Mar 2020 20:40:22 +0300
Received: from [2620:18c::213] (helo=[0.0.0.0])
    by server252.hosting.reg.ru with esmtpa (Exim 4.92.3)
    (envelope-from <abuse@grandcosmetic2.ru>)
    id 1jAGxQ-0006xr-QV
    for urm@mail.ru; Fri, 06 Mar 2020 20:40:21 +0300
Subject: Re: remcos rat - amaday c2 217.8.117.76
To: Lambrion <urm@mail.ru>
References: <1583424437.958156533@f543.i.mail.ru>
 <1583514791.511056217@f427.i.mail.ru>
 <12e723aa-da7b-b73d-d3a1-48bbaab1d49b@grandcosmetic2.ru>
 <1583516303.601833114@f468.i.mail.ru>
From: =?UTF-8?B?0KLQvtGA0LPQvtCy0YvQuSDQtNC+0Lwg0JPQoNCQ0JTQmtCe0KHQnNCV0KI=?=
 =?UTF-8?B?0JjQmiAtINCi0LXRhdC90LjRh9C10YHQutC40Lkg0L7RgtC00LXQuw==?=
 <abuse@grandcosmetic2.ru>
Message-ID: <6d3829eb-fe2e-c40f-00d6-e0641241de57@grandcosmetic2.ru>
Date: Fri, 6 Mar 2020 17:40:11 +0000
MIME-Version: 1.0
In-Reply-To: <1583516303.601833114@f468.i.mail.ru>
Content-Type: multipart/alternative;
 boundary="------------C0AFA0C5ABD15A08A5D474BE"
Content-Language: ru
X-6b629377: 1
X-7564579A: B8F34718100C35BD
X-77F55803: F5B8231AB9BAF22E892CCD0DCA016AB7D065BFE6A7F09A9C108BE19560300801C21D1426C63EDBABF8FD7B2727D76309DE2B2538A22E64D1
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
X-C8649E89: BE5A7AB57E2DBE6AE088E4072CB4DF637D902661114B8A02D0ADFAF29BA73986120578E5FA9525869F595CEF8576C34B
X-D57D3AED: Y8kq8+OzVoxvgW9Op3aR8JIWkI04tNS9G0g+gzS0PKeJDOBrL//rLYldd2avYxhfs9M+DuXTOBSH/SnnzuO3ddisQ15P6iVseqrIhHPnkjzGnNmEoRQLmQ==
X-F696D7D5: 6M4XxogNP2yIlFphNMH5458tG9yKbr12PTDSybm6b9rglJpyBuU9Lw==
X-Mras: Ok
X-Spam: undefined
X-Mailru-Intl-Transport: d,84f2145

Торговый дом ГРАДКОСМЕТИК - Технический отдел <abuse@grandcosmetic2.ru>6 марта 2020, 19:40

Привет.

Спасибо за обращение. Нахуй это в стороне Болгарии - если вы еще не поняли.

--
С уважением.
Технический отдел - Торговый дом ГРАНДКОСМЕТИК.

 

 

ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ТОРГОВЫЙ ДОМ "ГРАНДКОСМЕТИК"
Действующая организация

ОГРН
1165275048685
от 22 сентября 2016 г.
ИНН/КПП
5261107660
525901001

Дата регистрации
22.09.2016

Уставный капитал
100 000 руб.
Все реквизиты (ФНС / ПФР / ФСС / РОССТАТ)

Юридический адрес
603148, Нижегородская область, город Нижний Новгород, улица Чаадаева, дом 44а, пом 4 кабинет 12
Руководитель

Генеральный директор
Бараненков Антон Геннадьевич
с 22 сентября 2016 г.

Основной вид деятельности
Торговля оптовая парфюмерными и косметическими товарами (46.45)
Все виды деятельности (16)

Налоговый орган
Инспекция ФНС России по Московскому району г.Нижнего Новгорода
с 31 мая 2017 г.
Коды статистики
ОКПО 04693862
ОКАТО 22401370000
ОКОГУ 4210014
ОКТМО 22701000001

 

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...