Диалог демонстрирует конвейерный сценарий переговоров: минимальная верификация, быстрый торг, мгновенная оплата. Жертва запрашивает доказательство владения файлами, но не тестирует расшифровку. Хакеры снижают цену с $750 000 до $225 000 без длительных уговоров. Финальные материалы — дешифратор и лог удаления — отправляются сразу после подтверждения транзакции.
Такая динамика указывает на изменение тактики Akira в 2025 году: группа приоритизирует скорость закрытия сделок над максимизацией суммы, особенно с целями, демонстрирующими готовность платить.
Перевод диалога
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ваш ответ, предоставим все детали.
Akira
Вы собираетесь работать с нами?
Victim
да, есть полномочия и буду ждать список взятых данных. можете ли вы назвать цену тем временем?
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ваш ответ, предоставим все детали.
Victim
у меня есть полномочия
Akira
List.7z // 119 KB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла до 10 МБ каждый из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла до 10 МБ каждый в наш чат, и мы загрузим расшифрованные копии обратно. Мы изучаем ваши финансовые документы, чтобы сформулировать разумное требование к вам. Мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
я хочу полный пакет
Akira
Полный пакет стоит $750 000. Хотите протестировать наш инструмент расшифровки?
Akira
У вас есть 24 часа, чтобы принять решение по этой сделке. Если вы промолчите, мы объявим о взломе в нашем блоге.
Victim
Мы изучаем список файлов и у нас есть несколько файлов, которые мы хотели бы получить в качестве доказательства владения
Victim
E:[redacted].com\unpacked[redacted].png
Victim
E:[redacted].com\unpacked[redacted].pdf
Victim
Пожалуйста, прекратите назойливые письма, пожалуйста
Akira
files.rar // 113 KB
Akira
Если нужно протестировать наш инструмент, отправьте файлы сегодня.
Victim
Мы работаем на нашей стороне, чтобы оценить ваше предложение
Akira
Мы ждём вашего решения сегодня.
Akira
Вы действительно думаете, что мы будем ждать вечно?
Victim
мы работаем так быстро, как можем. Уберите пункт 1 и сообщите обновлённое предложение, и мы начнём двигаться быстрее
Akira
$400 000 за опции 2-5. Ждём вашего ответа сегодня.
Victim
сегодня и сделка за 72 500. уберите также пункт 3.
Akira
Если вы убираете пункт 3, мы снижаем цену до $340 000. Пятизначная сумма не может быть рассмотрена. Сделайте снижение как можно скорее.
Victim
Мы ценим дальнейшие скидки, но 340 000 не разумно. Мы готовы сделать шаг вперёд к вашей шестизначной сумме в 101 500.
Akira
$300 000, если заплатите до понедельника. Поторопитесь.
Victim
Мы готовы поторопиться, но 300 000 всё ещё высокая сумма для нас.
Akira
У вас ещё есть время. Сделайте всё возможное.
Victim
мы работаем на нашей стороне, но эта сумма всё ещё слишком высока для рассмотрения. Партнёры могут сделать шаг вперёд на 138 500
Akira
$285 000, и мы закрываем это.
Victim
наши цифры всё ещё далеки для закрытия. 151 500 и закроем это
Akira
$265 000. Давайте закончим это, так как мы собираемся объявить об инциденте.
Victim
Нет нужды в угрозах, так как мы пытаемся прийти к приемлемому решению. Мы в 105 000 друг от друга. Какое ваше решение
Akira
Решение в том, что вы соберёте остаток, и у нас будет сделка. Мы ждём, чтобы закончить это сегодня.
Victim
Сбор полных средств проблематичен. Но мы сделаем ещё один шаг на 169 600
Akira
Мы готовы сделать тот же шаг и снизиться до $240 000. Мы теряем интерес, ребята.
Victim
Можем ли мы закончить это на 201 500, это должно сделать все стороны счастливыми
Akira
$225 000 сделает всех нас счастливыми. Вот наш кошелёк BTC [redacted]. Сообщите, когда можем ожидать перевод.
Victim
монета отправлена
Victim
пожалуйста, предоставьте нам материалы
Akira
unlockers.7z // 2.1 MB
Akira
unlocker.exe -p=»path_to_unlock»
unlocker.exe -s=»C:\paths.txt»
где «paths.txt» — это список путей для дешифратора, каждый путь с новой строки
Команды для ESXi
1) chmod +x unlocker
2) ./unlocker -p=»/vmfs/volumes»
Victim
спасибо, получено. пожалуйста, сообщите, когда ожидать доказательство удаления данных
Akira
Должно быть предоставлено скоро.
Akira
Deletion.7z // 69.9 KB
Почему отказ от тестовой расшифровки не остановил сделку
Жертва запрашивает доказательство владения файлами, получает их, но не отправляет зашифрованные образцы для тестовой расшифровки. Хакеры не настаивают. Сделка закрывается на основе доверия к предоставленным файлам.
Такой подход возможен только при наличии одного из условий: у жертвы есть рабочие резервные копии, и расшифровка не критична, либо организация принимает репутационный риск ради скорости закрытия инцидента.
Проверьте прямо сейчас, есть ли у вашей команды процедура верификации дешифратора в изолированной среде перед запуском на продакшене. Если вы полагаетесь на обещания хакеров без технической проверки, вы рискуете получить нерабочий инструмент или повреждённые данные.
Как работает ценообразование при удалении опций из пакета
Жертва просит убрать пункт 1 (расшифровка), затем пункт 3 (отчёт). Хакеры снижают цену: $750 000 → $400 000 → $340 000. Но пятизначные суммы отвергаются категорически.
Это не линейная арифметика, а психологический якорь. Удаление двух опций из пяти снижает цену менее чем наполовину, потому что хакеры оценивают не количество услуг, а готовность жертвы платить.
[√] Запросите детализацию стоимости каждой опции в письменном виде — это может выявить скрытые условия
[√] Оцените, какая опция критична для бизнеса: восстановление операций или минимизация репутационного ущерба
[ ] Учтите, что оплата за «удаление» не гарантирует, что копии данных не остались у третьих лиц
Почему дедлайн в 24 часа работает только при готовности жертвы платить
Хакеры устанавливают дедлайн: «У вас есть 24 часа». Жертва не укладывается, но торг продолжается. Дедлайн не становится триггером публикации.
Исследования показывают: искусственные дедлайны в переговорах с вымогателями часто продлеваются, если жертва демонстрирует прогресс. Молчание или задержка без обратной связи интерпретируются как отсутствие интереса, что провоцирует эскалацию.
Проверьте, есть ли у вашей команды процедура эскалации инцидентов с чёткими временными рамками. Если решение о выплате требует согласования с несколькими уровнями руководства, 24 часа — нереалистичный срок. Заранее подготовленный протокол снимает давление срочности.
Как размер лога удаления в 69.9 КБ соотносится с объёмом изъятых данных
Хакеры присылают Deletion.7z размером 69.9 КБ как доказательство удаления данных. Такой объём не может содержать логи форматирования дисков или хэш-суммы файлов.
Скорее всего, это текстовый файл с подтверждением или скриншот команды удаления. Без криптографических доказательств такой «лог» не даёт гарантий, что данные действительно уничтожены.
[√] Запросите у хакеров хэш-суммы изъятых файлов до удаления — это позволит позже проверить, не появились ли они в публичном доступе
[√] Сохраните все этапы переписки и транзакций для возможного расследования или страхового случая
[ ] Рассмотрите привлечение третьей стороны для аудита процесса удаления — независимая верификация снижает риск неполного уничтожения данных
Почему упоминание «партнёров» в переговорах меняет динамику торга
Жертва указывает: «Партнёры могут сделать шаг вперёд на 138 500». Это сигнализирует хакерам: решение принимается коллегиально, есть внутренний лимит, но есть и пространство для манёвра.
Для вымогателей такая информация ценна: они понимают, что жертва не принимает решения единолично, и могут корректировать давление. Слишком агрессивный торг может заблокировать сделку, если «партнёры» откажутся согласовывать выплату.
Проверьте, есть ли у вашей организации заранее согласованный протокол принятия решений при инцидентах с вымогателями. Если каждый шаг требует экстренного согласования с партнёрами или советом, вы уязвимы к манипуляциям через срочность.
Как работает быстрое закрытие сделки без эмоционального давления
В этом диалоге нет личных историй, упоминаний больных детей или внутренних конфликтов. Переговоры ведутся в деловом тоне, с чёткими цифрами и дедлайнами.
Такой стиль характерен для организаций с подготовленным протоколом реагирования: переговорщик не тратит время на эмоции, фокусируется на фактах. Хакеры реагируют аналогично: быстро снижают цену, не тянут диалог.
Для защиты это означает: заранее подготовленные скрипты ответов и внутренние лимиты позволяют сократить время инцидента и снизить операционный ущерб.
Какие индикаторы компрометации искать после атаки с расширением .akira
Если вы расследуете инцидент с участием Akira, обратите внимание на:
[√] Файлы с расширением .akira — маркер шифрования
[√] Записи в логах о запуске процессов с параметрами —secret id, —logs trace, —encryption_percent
[√] Подозрительные подключения к доменам в зонах .onion, .tk, .ml
[√] Использование утилит вроде RClone, 7z, curl для эксфильтрации или подготовки данных
[ ] Изменения в политиках паролей или отключение MFA незадолго до инцидента
Хэш-образцы для поиска: проверьте базы VirusTotal и ANY.RUN по тегу «Akira». Группа часто перекомпилирует бинарники, но сигнатуры кода и использование библиотеки Nettle сохраняются.