Жертва 20231227 (74 сообщения)
здравствуйте
Жертва
здравствуйте
Жертва
здравствуйте пожалуйста помогите МНЕ
Жертва
привет
Жертва
тут кто-нибудь есть
Жертва
мы очень маленькая компания…
Жертва
??
Жертва
???
Жертва
здравствуйтэ Мистер
Жертва
Пожалуйста помогите пожалуйста помогите
Жертва
тут кто-нибудь есть
Жертва
Здравствуйте….
Жертва Речь о нашем существовании… пожалуйста пожалуйста помогите нам
Жертва Здравствуйте
Жертва мистер
Жертва здравствуйте
Жертва здравствуйтэ
Жертва здравствуйтэ
Жертва akira
Жертва команда
Жертва хеллоооо
Жертва akira
Жертва здравствуйте
Жертва 😭😭😭😭
Жертва хеллооо
Жертва вы тут??
Жертва хеллооо
Жертва хеллоооо
Жертва хеллоооо
Жертва хеллоооо
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи и наберитесь терпения. Мы вернёмся к вам в ближайшее время.
Есть ли у вас полномочия вести переговоры от имени организации? Как только мы получим ответ, вам будут предоставлены все детали.
Жертва
да я владелец компании. Семейный бизнес.
Жертва
мы небольшая компания, не много людей, и все члены моей семьи здесь работают. Вы взломали не крупную компанию. Ситуация очень плохая для нас и, честно говоря, у нас не так много денег, потому что дела идут неважно.
Жертва
ПОЖАЛУЙСТА…..😭😭😭😭
Akira
Подождите деталей.
Жертва
здравствуйте сэр
Akira
Мы не забирали ваши данные. Мы — те, кто может корректно расшифровать ваши данные и восстановить инфраструктуру за короткий срок.
После оплаты вы получите расшифровщик для каждой из ваших систем и инструкцию по его использованию для конкретного файла или системы. Если вы столкнётесь с проблемами в процессе расшифровки, мы будем здесь, чтобы поддержать. Вы получите отчёт по безопасности, который включает информацию о том, как мы смогли проникнуть в вашу сеть, а также эксклюзивную информацию из первых рук о состоянии вашей сети и найденных уязвимостях. Более того, вы получите качественные технические рекомендации по устранению уязвимостей и укреплению сети для защиты внутренней и внешней инфраструктуры.
Вы также получите письменные гарантии, что мы сохраним эту беседу в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова. Цена — 100 000 долларов. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла размером до 10 МБ каждый в наш чат, а мы вернём их расшифрованные копии.
Жертва
100 000$ — это слишком много. Мы как семейный бизнес не зарабатываем такие деньги. Хотел бы я заплатить, но мы никак не можем себе позволить. У нас уже есть денежные проблемы прямо сейчас, и я с трудом плачу зарплату сотрудникам. Вы собираетесь разрушить мои семьи и всю мою жизнь. Почему вы атакуете маленький бизнес вроде нас, а не крупную корпорацию? Все в моём офисе опустошены, некоторые даже плачут из-за этой ситуации. Единственное, что я могу сделать, — пожалуйста, заплатите максимум 5 000$. Мне жаль, но я действительно не могу позволить больше. Пожалуйста, сделайте это для моей семьи и трудолюбивых честных сотрудников. Не разрушайте наши жизни. Нам всем нужна эта компания.
Жертва
ПОЖАЛУЙСТА …..
Akira
unlocker.7z // 1,24 МБ
Akira
unlocker.exe -p=»path_to_unlock» unlocker.exe -s=»C:\paths.txt»
where «paths.txt» is a list of paths for the decryptor, each path on a new line
ESXi commands
1) chmod +x unlocker
2) ./unlocker -p=»/vmfs/volumes»
Жертва
спасибо большое ✌️✌️✌️✌️✌️
Akira
Пожалуйста!
Жертва
извините, что беспокою, но я пытаюсь всё время, но не могу заставить работать. Не могли бы вы объяснить, что именно мне нужно делать?
Жертва
😭😭😭😭
Akira
У вас есть инструкции. Скажите, на каком этапе у вас возникают трудности.
Жертва
спасибо большое……вы мой Ангел
Жертва я не могу восстановить базу данных
Akira
Предоставьте больше деталей. Какую ошибку вы получили?
Жертва
😭😭😭😭😭😭😭😭
Жертва
в sqlserver не получается прикрепить базу данных
Жертва
нормально ли?
Жертва
[redacted].jpg // 4,82 МБ
Жертва
до декодирования
Жертва
до декодирования
Жертва
[redacted].jpg // 5,71 МБ
Жертва
что пошло не так? ПОЖАЛУЙСТА ПОЖАЛУЙСТА ПОМОГИТЕ
Жертва
мы думали, сервер завис, и перезагрузили сервер. Может ли быть связано с?
Жертва
и некоторые файлы заканчиваются на arika .file
Жертва
У меня вопрос, потому что я пытаюсь что-то исправить всё время, но не могу. Мы думали, что сервер упал, поэтому перезагрузили его. Возможно ли, что во время этого процесса некоторые файлы, которые начали шифроваться, повредились и теперь не могут быть расшифрованы? Потому что мои самые важные .mdf файлы больше не работают. Не могли бы вы мне помочь?
Жертва
ПОЖАЛУЙСТА
Жертва
😭😭😭😭😪😪😪
Жертва
😭😭😭😭😭
Жертва
есть идея??
Жертва ?
Akira
Да, прерывание процесса расшифровки могло повредить файлы. Пришлите логи, я спрошу техническую команду.
Жертва
как вы проникли в нашу сеть? можете дать информацию пожалуйста…
Akira
Первоначальный доступ к вашей сети был приобретён в даркнете.
Жертва
как мне найти?
Жертва
как произошло?
Жертва
доступ через почту, роутер, клиент?
Жертва как мне сделать лучше или обезопасить?
Жертва
Спасибо за ваши ответы и терпение с нами
Жертва
Есть новый доступ, правильно ли я понимаю?
Akira
Вы уже получили расшифровщики бесплатно. Я предоставил вам более чем достаточно информации.
Жертва
спс 🥰
Гибридное шифрование ChaCha20+RSA и почему оно ломает базы данных при прерывании
.Akira использует двухуровневую схему шифрования. Сначала генерируется случайный ключ для потокового шифра ChaCha20. Этим ключом шифруется содержимое файла. Затем сам ключ шифруется асимметричным алгоритмом RSA и сохраняется в заголовке файлаwww.cisa.gov
Подобная архитектура даёт скорость симметричного шифрования и безопасность асимметричного обмена ключами. Но у схемы есть уязвимость при прерывании. Если процесс останавливается на середине — перезагрузкой, отключением питания, принудительным завершением — файл остаётся в гибридном состоянии. Часть данных зашифрована, часть нет. Заголовок может содержать повреждённый ключ RSA.
. Повреждение любой из этих структур делает файл нечитаемым даже после корректной расшифровки остального содержимого.Для обычных файлов вроде документов или изображений частичное шифрование часто приводит к полной потере данных. Для баз данных ситуация критичнее. MDF-файлы SQL Server содержат не только пользовательские данные, но и системные страницы: заголовки файлов, карты размещения, журналы транзакцийwww.sqlskills.com
Жертва сообщает: «мы думали, сервер завис, и перезагрузили его». После перезагрузки SQL Server проверяет целостность заголовка MDF-файла. Если контрольная сумма не сходится или структура повреждена — сервер отказывается прикреплять базу. Ошибка не в расшифровщике, а в том, что файл был прерван на середине криптографической трансформации.
Почему расшифровщик для ESXi требует ручного указания путей
Команды для ESXi, которые присылает Akira, выглядят просто:
Но за этой простотой скрывается важная техническая деталь. Расшифровщик не сканирует файловую систему автоматически. Он работает только с путями, которые явно переданы через параметр -p или файл -sakiradecryptor.org
Причина в архитектуре VMware. Файловая система VMFS хранит виртуальные машины как набор файлов: .vmdk для дисков, .vmx для конфигурации, .nvram для BIOS. Шифровальщик Akira может обрабатывать каждый тип отдельно. Но если расшифровщик начнёт рекурсивно обходить каталоги без контроля, он может повредить файлы, которые не были зашифрованы, или запустить процесс на несанкционированных томах.
Параметр -p задаёт корневую точку для расшифровки. Параметр -s позволяет передать список конкретных путей, каждый с новой строки. Такой дизайн даёт администратору контроль над процессом, но требует понимания структуры хранилища.
Жертва в диалоге не указывает, какие пути она передавала расшифровщику. Возможно, использовала путь по умолчанию или ошиблась в синтаксисе. Атакующие не уточняют — они уже отправили инструмент и инструкции. Дальнейшая техническая поддержка ограничена.
Почему атака на малый бизнес может закончиться бесплатным расшифровщиком
В этом кейсе жертва предлагает 5000 долларов против запрошенных 100 000. Атакующие не торгуются, не угрожают публикацией, не требуют срочной оплаты. Они просто отправляют расшифровщик.
Подобный финал редкость. Обычно группы вымогателей либо снижают цену поэтапно, либо обрывают диалог при слишком низком предложении. Здесь — молчаливое согласие.
Возможные причины:
- Рентабельность. Малый бизнес не может заплатить больше. Оператор чата понимает: тратить время на долгие переговоры с жертвой, которая физически не соберёт нужную сумму, — неэффективно. Лучше отправить расшифровщик и перейти к следующей цели.
- Автоматизация. Расшифровщик мог быть отправлен по шаблону после минимальной верификации. Если жертва прошла базовые проверки (подтвердила полномочия, отправила тестовые файлы), система автоматически выдала инструмент.
- Человеческий фактор. Оператор чата мог принять решение на основе эмоционального стиля жертвы. Повторы, эмодзи, обращения «мистер», «ангел» — не стандартный сценарий переговоров. Возможно, сработала эмпатия или усталость от диалога.
Для малого бизнеса с ограниченным бюджетом иногда выгоднее быстро закрыть сделку, чем рисковать полным срывом из-за жёсткой позиции. Исследователи отмечают, что группы вымогателей адаптируют тактику под тип жертвы.
Почему атакующие не делятся деталями вектора проникновения
Жертва несколько раз спрашивает: «как вы проникли?», «доступ через почту, роутер, клиент?», «как мне сделать лучше?». Атакующие отвечают односложно: «первоначальный доступ был приобретён в даркнете».
Подобная скупость — не случайность. Группа не заинтересована в том, чтобы жертва закрыла вектор и стала неуязвимой для повторных атак. Общие рекомендации из отчёта («меняйте пароли», «включите 2FA») — ритуал, а не техническая помощь.
Фраза «доступ из даркнета» обычно означает одно из трёх:
- Скомпрометированные учётные данные, проданные на форуме. Проверка логов аутентификации на предмет аномальных входов, особенно через VPN или RDP, может выявить источник.
- Уязвимость в публичном сервисе. Аудит внешних систем, обновление ПО, закрытие неиспользуемых портов — базовые меры.
- Фишинг или социальная инженерия. Обучение сотрудников, фильтрация почты, ограничение прав — необходимые шаги.
Жертва спрашивает: «как мне сделать лучше или обезопасить?». Ответ атакующих не помогает. Но для специалистов по безопасности подобный запрос — сигнал: нужно проводить полную ревизию периметра, а не полагаться на общие советы из чата с вымогателями.
Эмоциональный стиль как индикатор уязвимости жертвы
Жертва отправляет 27 сообщений до первого ответа атакующих. Использует эмодзи 😭😭😭, ✌️✌️✌️, 🥰. Пишет с ошибками, повторяет слова, обращается «мистер», «ангел».
Подобный стиль коммуникации — не просто особенность личности. Это индикатор крайней уязвимости. Жертва не ведёт переговоры, она просит о помощи. Она не торгуется, она умоляет.
Атакующие реагируют сухо, по делу, без эмоций. Но в финале жертва пишет «спс 🥰» искренняя благодарность за полученный расшифровщик.
Подобные случаи стоит фиксировать отдельно. Они показывают, что за техническими индикаторами и тактиками стоят живые люди с разными мотивами, эмоциями и реакциями. Для исследователей — ценный материал для анализа психологии переговоров. Для специалистов по реагированию — сигнал: если жертва общается в эмоциональном стиле, ей может потребоваться не только техническая помощь, но и психологическая поддержка.
Что зафиксировать в отчёте
Необычно высокий дисконт при минимальном торге маркер кейсов, где жертва не может платить, но атакующие всё же предоставляют расшифровщик.
.Упоминание перезагрузки сервера во время шифрования индикатор потенциального повреждения файлов, требующий отдельной проверки целостности баз данных
Эмоциональный стиль коммуникации жертвы сигнатура для классификации кейсов с крайне уязвимыми жертвами.
Минимальная информация о векторе проникновения маркер для проведения полной ревизии периметра безопасности.
Индикаторы для детекции
[√] Паттерн имён файлов: unlocker.7z, *.akira, *.file маркеры шифрования и расшифровщика группы
[√] Параметры расшифровщика -p, -s и команды для ESXi сигнатура для детектирования попыток запуска инструмента
[√] Упоминание повреждения .mdf файлов после перезагрузки индикатор проблем с восстановлением баз данных
[√] Эмоциональные маркеры в переписке сигнатура для классификации стиля коммуникации жертвы
Где проверить самостоятельно
Логи перезагрузки серверов в период инцидента можно сверить с временем шифрования для выявления потенциальных повреждений файлов
Формулировки про «доступ из даркнета» стоит использовать как триггер для аудита внешних сервисов и учётных записей
Хеши расшифровщика unlocker.7z и параметры командной строки можно сверить с публичными базами индикаторов для корреляции с другими инцидентами
Активность группы можно мониторить через публичные отчёты: исследователи отмечают, что группа продолжает адаптировать тактику под разные типы жертв, включая малый бизнес