周末钱包私钥被盗,损失惨重。私钥明文存在本地文本中,两台机器 linux/win10 中都有。其中 linux ssh 日志没有发现异常登录,win10 日志有点乱,似乎也没有被登录过。
win10 windows defender 没有扫到病毒,今天装了个火绒扫到一个程序报毒,名字是 FnHotkeyUtility.exe 。请求大家帮忙分析一下,文件是否就是通过这个程序泄露出去的。
病毒文件
链接: https://pan.baidu.com/s/18yAc_YyufZIuqXsFBImq_A?pwd=2jj7 提取码: 2jj7
分析平台结果
https://www.virustotal.com/gui/file/7acdae6297c8a70915eae326aaeb202b7fd7cab4436dbf65d17df682e5058098/detection
win10 windows defender 没有扫到病毒,今天装了个火绒扫到一个程序报毒,名字是 FnHotkeyUtility.exe 。请求大家帮忙分析一下,文件是否就是通过这个程序泄露出去的。
病毒文件
链接: https://pan.baidu.com/s/18yAc_YyufZIuqXsFBImq_A?pwd=2jj7 提取码: 2jj7
分析平台结果
https://www.virustotal.com/gui/file/7acdae6297c8a70915eae326aaeb202b7fd7cab4436dbf65d17df682e5058098/detection
第 1 条附言 2 天前
损失大几千 U ,对方还登录 hyperliquid 交易所把我的仓位平仓、出金、转走。
教训就是不要存明文,二次加密后存文本没得问题。
现在想知道是不是从这里泄露出去的,如果不是的话,说明还有漏洞,那就更危险了。
教训就是不要存明文,二次加密后存文本没得问题。
现在想知道是不是从这里泄露出去的,如果不是的话,说明还有漏洞,那就更危险了。
第 2 条附言 2 天前
感谢 #15 楼老哥 @qq316107934 一波专业的分析
40 条回复 2025-11-14 16:20:06 +08:00
 | 1 obeykarma 2 天前 FnHotkeyUtility.exe 是不是 lenovo 的笔记本,自带的 fn 按键实用工具? 玩币圈推荐 mac ,要不就是冷钱包 |
 | 2 usn PRO 同推荐 mac+冷钱包 |
 | 3 gegeligegeligo 2 天前 via Android 损失多少 |
 | 4 cc9910 2 天前 一般没放服务器的话,大部分都是周围人盗的 |
 | 5 allplay 2 天前 via Android [一次愚蠢的代价,一堂昂贵的教训;一出离奇的大戏,一场未竟的追寻] 2022 年被盗 3000 万美元的复盘 @KuanSun1990 https://v2ex.com/t/1157933#reply10 真正的原因:输入法与数据库泄漏? 骗子的戏码告一段落后,我才逐渐冷静下来,重新去复盘整个事件的根源。为什么会同时有两把时间相隔 3 年生成的私钥泄漏? 经过多次复盘,目前最可能的路径是 输入法与粘贴板泄漏。 我当时的操作习惯非常不安全: 私钥曾经在安卓手机和 Windows 电脑上输入、粘贴过(即使是断网); 手机上装过各种破解软件,还用过第三方输入法(讯飞语音输入法); 私钥甚至在微信里直接传过。 这些当年看似“无伤大雅”的行为,其实给攻击者留下了致命的入口。 Tron 事件中的当事人说是“billions pieces concated”(数十亿条拼接的数据),只花了 0.5 BTC 。这类数据库里混杂着海量剪贴板、输入法上传的数据,而我的私钥正好在其中。 这才解释了为什么两个生成时间完全不同的钱包会在同一次泄漏中一起暴露: 共同点是它们都曾在同一环境、同一输入法中出现过; 一旦输入法数据被打包流出,私钥就等于明码裸奔。 |
 | 7 villivateur 2 天前 你是说助记词被盗了吗?这东西应该手抄在纸上吧? |
 | 8 Pichai 2 天前 去 x 找余烬。 |
 | 9 buydip 2 天前 损失多少 |
 | 10 Tiger511 2 天前 @allplay 助记词?私钥我都要用 rdrand 指令直接算,私钥随便文档形式,二进制层面写个程序乱序或者抽数扩数,一分二分三,算法可以很简单,脑子简单记住一个 2 位数字就可以扩展还原回来,或者简单些个 py 脚本,文档随便放,算到太阳系能量枯萎都算不出来 |
 | 11 xiyuesaves 2 天前 路径看起来有点奇怪,和联想自带的驱动目录对不上  |
 | 12 qq316107934 2 天前  1 这是 Remcos 远控,有很多能力的,有可能已经下载运行了很多衍生物,建议重装系统。 |
| 13 allplay 2 天前 via Android 联想的文件不会放到 uuid 的路径下面 |
| 14 allplay 2 天前 via Android Windows 10 ,呵呵,微软都已经停止更新了。defender 估计也没有云查杀能力,不提供服务了。 微软不替你背锅哈 |
| 15 qq316107934 2 天前 6 帮你看了下具体行为,有偷取 Chrome(\AppData\Local\Google\Chrome\User Data\Default\Cookies 、\AppData\Local\Google\Chrome\User Data\Default\Login Data 获取 cookies.sqlite)、Firefox (从\AppData\Roaming\Mozilla\Firefox\Profiles\ 获取 key3.db ,IE )获取 Cookies 的行为,你的账号都要小心了。 同时有 Keylogger ,会记录你的键盘输入。 通过修改注册表绕过 UAC ( HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA 0 ) 有远程文件下载和执行能力,以及远程命令执行能力。 有操控剪切版的能力。 文件固定释放写入:C:\ProgramData\03057f44-7eaf-424e-a534-790913b4a870\FnHotkeyUtility.exe |
| 16 qq316107934 2 天前 1 @allplay Windows 10 虽已在 10 月 14 日终止支持,但微软确认其内置的 Microsoft Defender 将继续提供服务,持续更新反病毒和威胁检测功能,帮助用户抵御恶意软件及其他网络威胁: https://www.ithome.com/0/889/560.htm |
 | 17 ayamatsuura 2 天前 @qq316107934 这是用沙盒看的吗? |
| 18 qq316107934 2 天前 @ayamatsuura #17 本身有虚拟机和时区检测,沙盒试了下貌似过不了,看的静态反编译。 |
| 19 ayamatsuura 2 天前 @qq316107934 看的真快啊,还以为有啥好工具可以帮助分析呢,老哥牛皮 |
 | 20 codehz 2 天前 有病毒就直接重装吧,谁知道这是不是刚好唯一被发现的呢 |
 | 21 penzi 2 天前 via iPhone iPad 是世界上最安全的电脑 |
 | 22 Hyschtaxjh 2 天前 via iPhone 黑暗森林 永不才是真的 |
 | 23 milkpuff OP @qq316107934 牛啊老哥,太专业了 |
 | 24 icanfork 2 天前 1password ,和 V 友 做云亲属好多年了,提供了很大的安全保障 |
 | 25 sublimevsatom 2 天前 Linux 和 Win 上是一样的文本吗?这种东西最好是断网。 |
 | 26 streamrx 1 天前 via iPhone 炒币就不要用 Windows 和安卓, 不要安装任何第三方的输入法 |
 | 27 Gilfoyle26 1 天前 后悔是没用的,硬件钱包才是王道 |
| 28 usn PRO 看完 15 楼的分析,只想问,op 更改其它账号的密码了吗? |
 | 31 cxxlxx 1 天前 |
| 32 cxxlxx 1 天前 回复错了 |
 | 33 wonderfulcxm 1 天前 @allplay 现在一想剪贴板管理那些工具好危险啊 |
 | 34 Stop 1 天前 via iPhone 怎么敢剪切的,我从来都是手动输入,即使这样,我都还不放心是否有屏幕录制软件,会排查一遍。 |
 | 35 l0g1 1 天前 via Android 私钥和助记词不应该记到纸上吗?怎么敢存在电脑里的 |
 | 36 qiaobeier 1 天前 你这是被盯上了吧?会不会是熟人作案? |
 | 38 Valid 23 小时 32 分钟前 私钥的来源是哪里? |
| 39 Valid 23 小时 31 分钟前 我之前被盗过几次原因都是私钥来源,1 是我随机字符串生成的 sha256 做私钥作为钱包,2 是让 ai 给我生成 sha256 ,只是作为临时钱包没想到都被监控了。玩的太花了 |
 | 40 sead 21 小时 8 分钟前 黑产的最喜欢 win ,有些牛逼的开发者有能力写远控的,而且当时的杀软基本都能过。。 不过我知道的都是多年前了,那开发者是特殊单位的,没有事就是编内,有事就是编外。 |
Select Language