Здравствуйте Жертва 20231112 (58 сообщений)
Жертва
Здравствуйте
Жертва
Мы хотели бы расшифровать наши файлы
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время. Есть ли у вас полномочия вести переговоры от имени организации? Как только мы получим ответ, вам будут предоставлены все детали.
Жертва
Да
Akira
Подождите момент.
Akira
List.7z // 1,37 МБ
Akira
Эти файлы были похищены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии.
Жертва
Как мне открыть это?
Жертва
Неважно.
Жертва
[redacted].jpg.akira // 135 КБ
Жертва
[redacted].jpg.akira // 328 КБ
Жертва
[redacted].jpg.akira // 136 КБ
Жертва
Держите
Akira
Скоро загрузим их расшифрованными.
Akira
[redacted].jpg // 134 КБ
Akira
[redacted].jpg // 135 КБ
Akira
[redacted].jpg // 328 КБ
Akira
Вот расшифрованные файлы. Нужны ли вам файлы для подтверждения?
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели ваши банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая может помочь нам рассчитать требование. Мы готовы установить цену в 250 000 долларов США за ВСЕ услуги, которые мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем. Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена.
Жертва
Не могли бы вы отправить нам эти файлы из списка, который вы прислали?
Жертва
[redacted].xlsx [redacted].csv [redacted].pdf [redacted].pdf [redacted].XLS [redacted].pptx
Akira
Конечно. Скоро предоставим их.
Akira
[redacted].7z // 5,03 МБ
Akira
Вот файлы, которые вы можете проверить. Мы просили 2-3 файла, а возвращаем вам 4 из 6.
Жертва
Здравствуйте?
Akira
Вы готовы перейти к деталям оплаты?
Akira
Здравствуйте. Будете ли вы иметь с нами дело или мы можем перейти к объявлению об утечке? Дайте знать.
Жертва
Спасибо за разблокированные файлы и файлы из списка, которые мы запросили. Мы всё изучали и обсуждали наши следующие шаги, и правда в том, что у нас нет 250 000 долларов, которые просто лежат и ждут, чтобы мы отправили их вам. Какую наилучшую сумму вы можете предложить, чтобы мы могли решить это как можно быстрее?
Akira
Каково ваше встречное предложение?
Жертва
Всё, что у нас есть под рукой на данный момент, это 25 000 долларов США, которые мы можем отправить. Есть ли способ, чтобы вы предоставили нам сумму, с которой мы могли бы работать, учитывая то, что у нас есть сейчас? По крайней мере, мы могли бы тогда посмотреть, возможно ли собрать ещё. Мы не думаем, что сможем приблизиться к сумме в 250 000, но мы пытаемся собрать сколько можем.
Akira
10% от нашего требования? Вы уверены? Мы опубликуем ваши данные и удалим этот чат позже, если вы не пересмотрите это скромное предложение в течение 24 часов.
Жертва
Мне жаль. Я понимаю, что вы считаете 25 000 долларов неприемлемыми. Мы действительно хотим ваши услуги и пытаемся собрать что можем. Однако собрать капитал крайне сложно, так как мы не бизнес с высоким денежным потоком. Мы можем сгенерировать немного больше, но я не уверен. Можете ли вы предоставить нам более разумную сумму с учётом нашей финансовой ситуации? Можете ли вы принять 50 000 долларов?
Akira
Нет, мы не можем. Будет рассмотрена только шестизначная сумма, и на данный момент это 225 000 долларов.
Жертва
Мы ценим снижение, но правда в том, что у нас всё ещё нет 225 000. Мы всё ещё пытаемся найти средства где можем, но наш банк захочет знать, куда именно идут деньги, и не позволит нам использовать средства для чего-то подобного. Наш единственный вариант — попытаться собрать средства в другом месте. С учётом сказанного, мы активно пытаемся собрать больше, но 225 000 — это ваша абсолютная лучшая сумма?
Akira
Если ваш следующий шаг будет выше шестизначной суммы, я спрошу свою команду, возможен ли дополнительный дисконт.
Жертва
Спасибо за рассмотрение. Моя команда работает над тем, чтобы увидеть, что ещё мы можем сделать. На данный момент мне удалось собрать только 75 тысяч. Нам просто нужно больше времени.
Akira
Обновите нас в понедельник.
Жертва
Здравствуйте, мы работали над этим все выходные, и вот что мы смогли сделать: мы можем выйти на шестизначное число и предложить 100 000, но это всё, что у нас будет, вероятно, ещё довольно долго. Пожалуйста, рассмотрите наше предложение, и давайте завершим сделку.
Akira
Высшее руководство решило предоставить вам скидку в 30 000 долларов, снизив сумму до 220 000 долларов. Вы можете справиться с этой суммой без вреда для вашего бизнеса, давайте завершим это.
Жертва
Хотя мы ценим дальнейшее снижение, у нас просто нет такой суммы под рукой, и потребуется довольно много времени, чтобы получить больше, чем у нас есть сейчас.
Akira
У вас есть время до пятницы.
Жертва
Мы действительно хотим сделать это быстро, но у нас просто нет того, о чём вы просите, и мы не знаем, где или как мы получим больше, чем 100 000, которые мы предложили. Мы исчерпали все наши источники наличных. Мы можем отправить вам всё это сейчас, но я не знаю, когда или если у нас будет ещё.
Akira
У вас всё ещё есть время до пятницы, чтобы получить больше средств. Давайте посмотрим, что вы получите, и решим, как продолжить нашу сделку.
Жертва
Мы всё ещё пытаемся собрать дополнительные средства, но нам не очень везёт. Мы дадим вам знать, где мы находимся, завтра.
Akira
Хорошо, ждём.
Жертва
Хорошо, теперь у нас есть 150 000, и мы просто хотим сделать это и оставить позади. Это в основном делит разницу между вашей ценой и нашей. Пожалуйста, рассмотрите наше предложение, помогите нам, и давайте вернёмся к нашему бизнесу. Спасибо за ваше рассмотрение.
Akira
Здравствуйте
Akira
Руководство согласилось принять ваше предложение. Вот ID BTC-кошелька для оплаты: [redacted]
Как скоро вы пополните наш кошелёк?
Жертва
Мы сначала получаем одобрения от нашего банка, а затем будем готовы отправить оплату. К сожалению, сейчас выходные, и наш банк может не ответить до понедельника. Мы подадим запрос и дадим вам знать, как только отправим средства.
Akira
Ждём обновления в понедельник.
Жертва
Оплата отправлена на ваш кошелёк. Можете ли вы подтвердить и отправить нам то, за что мы согласились заплатить?
Akira
Подождите немного.
Akira
Мы подтверждаем получение. Пожалуйста, подождите предметы.
Akira
unlocker.7z // 3,04 МБ
Akira
unlocker.exe -p=»путь_к_расшифровке» unlocker.exe -s=»C:\paths.txt» где «paths.txt» — это список путей для расшифровщика, каждый путь с новой строки те же аргументы работают с расшифровщиком ESXi
Akira
Мы отправим остальное в течение 24 часов.
Анализ кейса: когда жертва начинает диалог и банк становится третьим участником торга
Этот лог выделяется на фоне других тем, что жертва инициирует контакт. Сообщение «Мы хотели бы расшифровать наши файлы» приходит до стандартного приветствия от атакующих. Это меняет динамику: жертва уже в позиции просящего, а не защищающегося.
Почему инициатива жертвы не помогает в торге
Казалось бы, тот, кто начинает диалог, задаёт тон. Но в данном случае раннее обращение жертвы работает против неё. Атакующие не тратят время на установление контакта — они сразу переходят к списку файлов и доказательству владения. Жертва уже показала готовность к диалогу, и это снижает её переговорную позицию.
Важно, что жертва сама отправляет зашифрованные файлы для тестовой расшифровки, не дожидаясь подробных инструкций. Это ускоряет процесс верификации, но также демонстрирует атакующим, что жертва технически компетентна и понимает правила игры. Для группы это сигнал: можно переходить к финансовому обсуждению без дополнительных объяснений.
Банк как внешний арбитр в переговорах
Фраза «наш банк захочет знать, куда именно идут деньги, и не позволит нам использовать средства для чего-то подобного» — ключевой момент. Жертва не просто говорит «у нас нет денег», она указывает на внешний ограничитель: банковский комплаенс.
Это создаёт интересную динамику. Атакующие не могут давить на банк, не могут ускорить его процедуры. Их рычаги — время и угроза публикации — разбиваются о институциональную инерцию финансовой системы. Жертва использует это как защитный механизм: «мы хотим, но банк не даёт».
Для специалистов по реагированию это сигнал: если в переписке появляются упоминания банковских ограничений, комплаенса, запросов на обоснование транзакций — это маркер, что жертва пытается легитимизировать задержку через внешние процедуры.
Траектория торга: от 10% до 60% дисконта
Ценовая динамика в этом кейсе необычна. Жертва начинает с 25 000 долларов (10% от требования), затем последовательно повышает: 50к → 75к → 100к → 150к. Атакующие снижаются: 250к → 225к → 220к → финал 150к.
Важно, что атакующие не принимают промежуточные предложения, но и не обрывают диалог. Они используют дедлайны («24 часа», «до пятницы», «обновите в понедельник»), но каждый раз продлевают окно, когда жертва показывает прогресс в сборе средств.
Финальная сумма в 150 000 долларов — это 40% дисконт от стартовой цены. Это выше среднего диапазона снижения (обычно 50-60%), но ниже, чем в кейсах с госсектором, где бюрократические лимиты жёстче.
Техническая деталь: кросс-платформенный расшифровщик
Упоминание «те же аргументы работают с расшифровщиком ESXi» — важная техническая деталь. Это подтверждает, что группа использует единую кодовую базу для шифрования на разных платформах: Windows и VMware ESXi.
Для технических команд это означает, что при получении расшифровщика не нужно искать отдельные инструменты для виртуальных машин. Один бинарник с параметрами —path и —secret работает везде. Но есть и обратная сторона: если атакующие обновят алгоритм шифрования, это затронет сразу все платформы.
Временные факторы: выходные как переговорный инструмент
Жертва активно использует тайминг: «сейчас выходные, банк может не ответить до понедельника». Атакующие реагируют («ждём обновления в понедельник»), но не могут ускорить внешние процессы.
Это показывает, что в переговорах с вымогателями время — не абсолютный рычаг. Если жертва может легитимно сослаться на внешние ограничения (выходные, банковские процедуры, согласования), дедлайны атакующих теряют силу.
Что зафиксировать в отчёте
Инициатива жертвы в начале диалога — маркер, что компания уже находится в позиции уязвимости, что может влиять на динамику торга.
Упоминание банковского комплаенса как ограничителя — индикатор, что жертва использует внешние процедуры для легитимизации задержек.
Траектория торга 250к → 150к (40% дисконт) — референс для оценки реалистичности требований в аналогичных кейсах с малым бизнесом.
Упоминание совместимости расшифровщика с ESXi — технический индикатор для подготовки инструкций по восстановлению виртуализированных сред.
Индикаторы для детекции
[√] Сообщения жертвы с инициативой контакта («хотим расшифровать файлы») — сигнатура для классификации кейсов, где жертва начинает диалог
[√] Упоминания банковского комплаенса, запросов на обоснование транзакций — маркер использования внешних процедур как защитного механизма
[√] Параметры расшифровщика -p, -s с упоминанием совместимости с ESXi — индикатор кросс-платформенного инструмента группы
[√] Дедлайны с привязкой к рабочим дням («обновите в понедельник», «до пятницы») — паттерн, характерный для переговоров, где жертва использует банковские процедуры
Где проверить самостоятельно
Логи исходящих сообщений с инициативой контакта можно искать в корпоративных чатах как индикатор раннего вовлечения в переговоры с вымогателями
Формулировки про банковские ограничения и комплаенс стоит использовать для классификации кейсов при анализе тактик групп
Хеши расшифровщика unlocker.7z и параметры командной строки можно сверить с публичными базами индикаторов для корреляции с другими инцидентами