Как технически работает верификация дешифратора при ограничении чата в 10 МБ и почему файлы .docx/.xlsx требуют особого подхода к восстановлению
Victim
Мы хотели бы знать, какие данные вы взяли у нас
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. Мы скоро свяжемся с вами. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ответ, предоставим все детали.
Victim
Да
Akira
list (20).txt // 798 KB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла до 10 МБ каждый из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла до 10 МБ каждый в наш чат, и мы загрузим расшифрованные копии обратно.
Мы изучаем ваши финансовые документы, чтобы сформулировать разумное требование к вам. Мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
Спасибо за предоставление этой информации и списка файлов. Мы изучим всё и свяжемся с вами в понедельник.
Akira
Жду.
Victim
Требуется больше времени, чем мы думали, чтобы проверить этот список. Нужно до завтра, если это нормально
Akira
Это не нормально. Предоставьте запрос файлов сегодня.
Victim
Мы впервые связались с вами в выходные, и у нас не было достаточно времени, чтобы проверить этот список. Не так просто бегло просмотреть все эти директории.
Akira
Вы можете запросить любой небольшой файл из списка. Это не занимает много времени.
Victim
Извините за ожидание. Всё ещё разбираемся с данными, но пожалуйста, отправьте эти
Victim
E:[redacted].com[redacted].docx
Victim
E:[redacted].com[redacted].xlsx
Victim
E:[redacted].com[redacted].xlsx
Akira
Files.rar // 1.93 MB
Akira
Вот файлы. Хотите протестировать наш инструмент расшифровки?
Victim
Да, как это работает?
Akira
Вы пытаетесь тянуть время? Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла до 10 МБ каждый в наш чат, и мы загрузим расшифрованные копии обратно. Ждём файлы сегодня.
Akira
Мы готовы установить цену в $450 000 за ВСЕ услуги, которые мы предлагаем. Ждём ваши файлы сегодня.
Victim
[redacted].jpg.akira // 37.7 KB
Victim
[redacted].docx.akira // 155 KB
Victim
Пожалуйста, проявите терпение. Мы не хотим допустить ошибку, поэтому следуем вашим указаниям. Можете ли вы исправить это?
Akira
Пожалуйста, подождите.
Akira
Decrypted.7z // 148 KB
Akira
Вот файлы. Вы готовы перейти к оплате?
Victim
Можем ли мы немного замедлиться? Мы проверяем эти файлы, но вы просите почти полмиллиона. Другие компании просто платят вам мгновенно?
Akira
Да, платят. У вас есть время до завтра, чтобы проверить файлы. Мы должны перейти к оплате.
Victim
Нам нужно это прояснить. Мы связались с вами в выходные, и мы потратили каждый будний день, пытаясь включить наши заблокированные компьютеры, что было медленным процессом. Мы также изучали ваш список, и теперь вы просите $450 000. Мы небольшая компания из [redacted], не какая-то крупная корпорация в большом городе. Можем ли мы получить больше 1 дня, чтобы осмыслить всё это?
Akira
Сколько времени вам нужно, чтобы собрать сумму?
Victim
Мы не можем обещать какую-либо оплату при таких темпах, но вторник должен дать нам достаточно времени, чтобы увидеть, как это может развиваться. Я не занимаюсь финансами, но знаю, что это будет довольно сложной задачей, чтобы увидеть, что мы можем придумать.
Akira
Мы не можем дать вам время до вторника. Мы дадим вам до вечера четверга, самое позднее.
Victim
Это завтра…
Victim
У нас есть несколько сотрудников. Мы не зарабатываем миллионы и миллионы выручки. Как вы ожидаете, что мы оценим всё это за 24 часа? Если у нас не будет времени, то мы понятия не имеем, как мы будем работать с вами.
Akira
Просто дайте нам обновление в четверг вечером. Если вы заплатите на этой неделе, мы можем сделать хорошую скидку.
Victim
Я хотел вернуться к вам до вечера. Я действительно хотел бы иметь лучший ответ, но прямо сейчас единственное, что у нас есть, — это немного наличных на несколько тысяч. Нам нужно встретиться с нашим бухгалтером, так как он больше знает об этих финансовых делах, и он вернётся только на следующей неделе. Это гораздо серьёзнее, чем мы думали, и я не хочу потерять контакт с вами. Можете ли вы подождать, пока он вернётся, чтобы мы могли увидеть, какие у нас есть варианты?
Akira
Мы можем подождать до понедельника для серьёзного встречного предложения. Инцидент будет объявлен, если ваша сумма будет неадекватной.
Victim
Я думаю, мы сможем это сделать
Akira
Надеюсь.
Akira
Какое у вас предложение?
Victim
Наш бухгалтер всё ещё проводит анализ, но я сказал им, что нам нужно предоставить какой-то ответ вам сегодня. Ничего не окончательное, но пока он комфортно предлагает $80 000. Я даже не знаю, как передать эти деньги вам, но это то, что вы можете принять?
Akira
Это не работает. Предложение в $80 000 слишком далеко от нашего требования. Мы не работаем с пятизначными суммами. Обновите ваше предложение сегодня, если не хотите, чтобы мы объявили об инциденте.
Victim
Бухгалтер всё ещё пересматривает наши финансовые данные. Это было ещё сложнее, так как у него нет доступа к некоторым дискам. Это не наше окончательное число, но ничего другого он не может предоставить сегодня. Он просматривает десятки отчётов и пересчитывает некоторые из заблокированных данных, поэтому ему понадобится несколько дней, чтобы разобраться в этом.
Akira
Мы не дадим больше 24 часов. Поторопитесь.
Victim
Если мы продолжим получать такие короткие дедлайны, то мы продолжим не укладываться. Здесь работает всего несколько из нас, и каждый день был болезненным для нас. У нас нет доступа к нашим файлам, и мы пытаемся придумать цену, которая кажется несправедливой. Если вы не собираетесь идти нам навстречу по цене, то пожалуйста, дайте нам достаточно времени, чтобы действительно дать вам правильный ответ. Нам не нужна целая неделя, просто несколько дней.
Akira
У вас есть дедлайн. Никто не будет это тянуть.
Victim
Итак, у нас есть как 2-3 дня? Это всё, что нам нужно.
Akira
Нет, мы не можем дать вам 3 дня. Обновите нас во вторник вечером. Мы решим, как действовать с вами.
Victim
Мы постараемся, но мы действительно не знаем, что мы можем придумать за несколько часов…
Akira
Вы должны отнестись к этому серьёзно. Мы не будем ждать долго.
Victim
Хорошо, вот где мы находимся. Бухгалтер сказал, что мы уже были в плохом состоянии, чтобы начать год, и бюджет был урезан, потому что наша прибыль не становится лучше. Мы можем отложить небольшой проект, чтобы собрать больше денег для вас, но что-то большее, и нам понадобится помощь от банка. Больше ничего не осталось на данный момент. Подводя итог, мы можем заплатить $103 000 сейчас. Всё, что больше, потребует помощи от банка.
Akira
Это уже что-то. Вы можете понять, что вы всё ещё далеки от нашего требования, но мы открыты к работе с вами. Итак, руководство решило сделать большой шаг навстречу вам, и мы готовы принять $400 000, если вы заплатите на этой неделе.
Victim
$400 000? На этой неделе?
Victim
Это какой-то трюк? Как вы думаете, мы увеличим наше предложение в 4 раза за 3 дня?
Akira
Возьмите кредит или попробуйте занять. Спросите своего бухгалтера. У вас есть несколько сотен тысяч наличными и пара десятков в активах.
Victim
Я мало знаю о финансовых делах, но я знаю, что наш бухгалтер много раз говорил, что мы уже в большом долге. Если есть хоть какой-то шанс занять, то это тоже займёт время. Я ненавижу звучать как заезженная пластинка, постоянно прося времени, но вам нужно дать нам что-то, от чего можно оттолкнуться. Можем ли мы получить остаток этой недели, чтобы увидеть наши варианты, а затем обновить вас в понедельник?
Akira
Мы не можем ждать так долго. Обновите нас в четверг вечером, самое позднее.
Victim
У нас есть несколько банков, с которыми мы обычно работаем, и я могу гарантировать, что они не подпишут кредит за 48 часов. Мы в их власти, если пойдём по этому пути, поэтому четверг не подойдёт.
Akira
Сделайте всё возможное. Мы верим, что вы справитесь.
Victim
Просто сообщаю, что мы всё ещё работаем над этим, но это движется медленно. Мы сейчас в их власти
Akira
Держите нас в курсе вашего прогресса.
Victim
Мы обязательно будем. Мы хотим, чтобы это было разрешено, так же как и вы.
Akira
Жду.
Akira
Как ваш прогресс?
Victim
Мы только что получили известие от банка, работающего с нами, что у них не будет решения по кредиту до следующих выходных. Либо понедельник, либо вторник.
Victim
Мы должны продолжать предоставлять им документацию наших финансовых данных, чтобы мы могли обосновать сумму кредита, поэтому здесь много всего задействовано.
Akira
Вы должны подтолкнуть свой банк, чтобы получить от них более быстрое решение. Дедлайн — понедельник. Если вы предоставите маленькое или нулевое предложение, мы объявим об инциденте.
Victim
Если бы у нас была такая власть, мы бы сказали им это, но это банк, и нам нужно что-то от них. Они не просто дадут нам деньги без проведения должной проверки.
Victim
Мы сообщим вам в понедельник, есть ли у нас их решение или нет.
Akira
Хорошо. Мы увидим в понедельник, будут ли опубликованы ваши данные или нет.
Akira
У вас есть 24 часа, чтобы принять решение по этой сделке. Если вы промолчите, мы объявим о взломе в нашем блоге.
Akira
Вы можете найти название вашей компании в нашей колонке новостей:
[onion-ссылка]
Если вы хотите, чтобы этот пост был удалён, мы должны прийти к соглашению.
Как работает гибридное шифрование файлов .docx и .xlsx в Akira
Файлы офисных форматов представляют собой ZIP-архивы с внутренней структурой XML. Akira применяет потоковый шифр ChaCha20 для шифрования содержимого, но сохраняет заголовок файла нетронутым для маскировки под «повреждённый» документ. При открытии такого файла в Office пользователь видит ошибку «Файл повреждён», а не явный индикатор атаки.
Расширение .akira добавляется постфактум, но дешифратор проверяет не только расширение, но и сигнатуру в конце файла — 32-байтовый хэш от оригинального имени и случайного соли. Без совпадения сигнатуры инструмент отказывается работать, что блокирует попытки запуска дешифратора на чужих зашифрованных данных.
Для восстановления .xlsx-файлов с большими таблицами критичен параметр —encryption_percent: если шифрование прервалось, часть строк может остаться в открытом виде, а часть — в зашифрованном. Дешифратор восстанавливает только зашифрованные блоки, но не проверяет целостность структуры XML. После расшифровки файл может не открыться из-за нарушенных ссылок между листами.
Проверьте прямо сейчас, есть ли у вашей команды процедура валидации офисных документов после расшифровки — не только открытие файла, но и проверка формул, макросов, внешних ссылок.
Почему список файлов в формате .txt объёмом 798 КБ раскрывает структуру эксфильтрации
Файл list (20).txt размером 798 КБ содержит пути к изъятых файлам. При среднем размере строки в 120 байт это примерно 6800 записей. Если каждый путь указывает на уникальный файл, общий объём изъятых данных может достигать десятков гигабайт.
Структура путей вида E:[redacted].com… указывает на выделенный том для веб-контента или прикладных данных. Это характерно для хостинговых сред или серверов с разделением системных и пользовательских данных.
Анализ расширений в списке позволяет реконструировать приоритеты злоумышленников: .docx, .xlsx, .pdf, .jpg — документы и медиа, которые имеют ценность для шантажа. Отсутствие .exe, .dll, .sys говорит о том, что эксфильтрация нацелена на данные, а не на код.
[√] Сверьте пути из списка с логами доступа к файловым серверам — это может выявить время и источник копирования
[√] Проверьте, не были ли изменены атрибуты NTFS (Last Access Time, Creation Time) у файлов из списка — это помогает установить временное окно атаки
[ ] Запросите у хакеров хэш-суммы оригиналов для выборочных файлов — расхождение укажет на модификацию до или после изъятия
Как ограничение чата в 10 МБ влияет на процесс верификации дешифратора
Интерфейс поддержки Akira накладывает лимит в 10 МБ на загрузку файлов. Это техническое ограничение Tor-хостинга или намеренная мера для снижения нагрузки.
Для жертвы это создаёт операционную проблему: невозможно отправить для теста крупные файлы (базы данных, образы дисков, видео). Приходится выбирать небольшие образцы, которые могут не репрезентировать критичные данные.
Хакеры компенсируют это, предлагая загрузку через внешние файлообменники, но это вводит дополнительные риски: утечка метаданных, перехват ссылки, логирование IP-адресов.
[√] Используйте временные аккаунты без привязки к корпоративной инфраструктуре для загрузки файлов во внешние сервисы
[√] Архивируйте тестовые файлы с одноразовым паролем — даже если хакеры уже имеют доступ, это усложняет пассивный мониторинг
[ ] Запрашивайте расшифровку файлов разных типов и размеров — это снижает риск получить рабочий дешифратор только для малых образцов
Что означает фраза «bricked computers» с технической точки зрения
Жертва сообщает: «мы потратили каждый будний день, пытаясь включить наши заблокированные компьютеры». Термин «bricked» обычно означает невозможность загрузки ОС.
В контексте атаки Akira это может указывать на:
[√] Шифрование загрузочного сектора (MBR/VBR) — система не находит загрузчик
[√] Удаление или шифрование критических системных файлов (ntoskrnl.exe, bootmgr)
[√] Блокировку доступа к гипервизору (ESXi) через смену пароля root
[ ] Манипуляцию с таблицей разделов диска — ОС не видит том с системой
Для восстановления в таких случаях недостаточно запустить дешифратор из-под работающей ОС. Требуется загрузка с внешнего носителя, доступ к консоли гипервизора или восстановление из резервной копии загрузочных секторов.
Проверьте, есть ли у вашей команды процедура аварийной загрузки с изолированного носителя. Если восстановление зависит только от дешифратора, вы рискуете остаться без доступа к системе даже после оплаты.
Почему бухгалтер не может получить доступ к «некоторым дискам» после шифрования
Жертва указывает: «У него нет доступа к некоторым дискам». Это не просто «файлы зашифрованы» — это отсутствие доступа на уровне тома или учётной записи.
Возможные технические причины:
[√] Шифрование на уровне тома (BitLocker, LUKS) с изменением ключа восстановления
[√] Изменение прав доступа NTFS — удаление разрешений для учётной записи бухгалтера
[√] Изоляция сетевого ресурса — отключение SMB-шары или изменение ACL на файловом сервере
[ ] Удаление теневых копий (VSS) — бухгалтер полагался на восстановление через «Предыдущие версии»
Для расследования важно сверить текущие права доступа с базовой конфигурацией. Если изменения внесены централизованно (через групповые политики), это указывает на компрометацию доменного контроллера.
Как работает анализ финансовых документов из зашифрованной среды
Хакеры заявляют: «Мы изучаем ваши финансовые документы, чтобы сформулировать разумное требование». Но если файлы зашифрованы, как они читают банковские выписки?
Возможные сценарии:
[√] Эксфильтрация произошла до шифрования — хакеры скопировали данные, затем запустили шифровальщик
[√] Частичное шифрование — некоторые тома или директории остались нетронутыми
[√] Доступ к резервным копиям или облачным синхронизациям, которые не были отключены
[ ] Использование агентов, которые передают метаданные (размер файла, дата изменения) без содержимого
Для защиты критично: отключайте синхронизацию с облаками при обнаружении аномальной активности. Даже если файлы зашифрованы локально, их копии в облаке могут остаться доступными для злоумышленников.
Почему дедлайны в переговорах не совпадают с техническими возможностями восстановления
Хакеры устанавливают дедлайн в 24-48 часов. Жертва сообщает: «Банк не примет решение по кредиту до следующих выходных».
Это конфликт между операционными циклами: киберпреступники работают в режиме «быстро закрой сделку», финансовые институты — в режиме «проверь, одобри, документируй».
Для организации это означает: даже при готовности платить, внешние зависимости (банки, регуляторы, совет директоров) могут сделать соблюдение дедлайна технически невозможным.
[√] Заранее согласуйте с финансовым отделом процедуру экстренного одобрения криптоплатежей
[√] Имейте резервный канал связи с банком для ускоренной обработки заявок при инцидентах
[ ] Документируйте все этапы согласования — это может служить оправданием задержки при переговорах
Какие индикаторы компрометации искать в логах после атаки на файловый сервер
Если вы расследуете инцидент с участием Akira, обратите внимание на:
[√] Массовое переименование файлов с добавлением .akira в течение короткого временного окна
[√] Записи в логах Event ID 4663 (доступ к объекту) с подозрительной учётной записью
[√] Подозрительные подключения к портам 445 (SMB), 22 (SSH), 443 (HTTPS) с внешних IP
[√] Запуск процессов с параметрами —secret id, —logs trace, —encryption_percent
[ ] Изменения в групповых политиках или правах доступа к файловым ресурсам
Хэш-образцы для поиска: проверьте базы VirusTotal и ANY.RUN по тегу «Akira». Группа часто перекомпилирует бинарники, но сигнатуры кода и использование библиотеки Nettle сохраняются.