«Группа продаёт не просто расшифровку, а иллюзию контроля: диалог показывает, как технические ограничения шифровальщика, блокчейн-транзакции и психология таймеров превращают переговоры в инструмент давления, а не в сервис
Жертва
Здравствуйте Жертва Кто-нибудь здесь Жертва Как нам получить ключ восстановления Жертва akira_readme.txt // 2.68 KB Жертва ПРИВЕТ!!!!
Akira
Здравствуйте. Вы связались с чатом поддержки Akira. В настоящее время мы готовим список данных, которые мы взяли из вашей сети. Пока вы должны знать, что работа с нами — лучший способ урегулировать вопрос быстро и дёшево. Будьте на связи и проявите терпение. Мы скоро свяжемся с вами.
Есть ли у вас полномочия вести переговоры от имени вашей организации? Как только мы получим ответ, вам будут предоставлены все детали.
Жертва
Да
Akira
list.txt // 208 KB Akira Эти файлы были взяты из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат в качестве доказательства владения. Чтобы доказать, что мы можем правильно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, и мы загрузим обратно расшифрованные копии.
Мы просматриваем ваши финансовые документы, чтобы сформулировать для вас разумное требование. Мы предлагаем:
- полная помощь в расшифровке;
- подтверждение удаления данных;
- отчёт по безопасности о найденных уязвимостях;
- гарантии не публиковать и не продавать ваши данные;
- гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Жертва
Все данные Жертва Здравствуйте Жертва Здравствуйте Жертва Здравствуйте Жертва Здравствуйте Жертва Здравствуйте Жертва Здравствуйте
Akira
Подождите немного.
Жертва
Здравствуйте
Akira
Итак, мы изучили ваши файлы, чтобы определить ваши финансовые возможности. Мы готовы установить цену в $275 000 за ВСЕ услуги, которые мы предлагаем.
Жертва
я хотел бы обратиться к вам. Мы маленькая компания всего из 5 сотрудников. Мы готовы заплатить, нам просто нужна разумная сумма, которую мы можем позволить себе без банкротства. Пожалуйста, пересмотрите, и мы хотели бы работать с вами. Жертва Мы должны платить из собственного кармана, у нас нет страховки для этого.
Akira
Покажите, что у вас есть сейчас, и я поговорю с моей командой.
Жертва
у меня есть 50K, которые я могу потратить сейчас.
Akira
Мы не сможем урегулировать это за 50k. Я думаю, лучшее, что мы можем предложить — скидка 50k, но мне нужно поговорить с моей командой. Мы работаем только с шестизначными суммами.
Жертва
если вы можете работать с шестизначными суммами, можете ли вы сделать 100K? у меня нет таких денег сейчас, но я могу взять кредит. Можем ли мы начать с нескольких ВМ, чтобы доказать, что это работает?
Akira
$175 000, и мы закончим с этим. Мы не можем опуститься ниже. Чтобы доказать, что мы можем правильно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла до 10 МБ каждый в наш чат, и мы загрузим обратно расшифрованные копии.
Жертва
пожалуйста, пересмотрите. можете ли вы взять 125K? это будет тяжело для нас по такой цене.
Akira
Ребята, во-первых, скидка 100k кажется достаточно большой. Во-вторых, мы установили справедливую цену изначально, так что вы можете справиться с этим без проблем. Пусть 175k будет финальной цифрой, поскольку таким образом мы оба удовлетворены.
Жертва
сколько времени вы можете дать нам, чтобы собрать деньги?
Akira
Скидка доступна до субботы.
Жертва
можете ли вы сказать нам, как нам нужно оплатить вам?
Akira
Мы принимаем оплату в биткоинах. Чтобы получить биткоины, вам нужно зайти на любую биржевую платформу, например binance или coinbase. Вот руководства: https://www.coinbase.com/how-to-buy/bitcoin https://www.binance.com/en/how-to-buy/bitcoin Вы также можете купить биткоин у любых местных брокеров. Если вы снимаете средства со своего банковского счёта, то должны сообщить банку, что эти деньги вам нужны только для инвестиционных целей.
Akira
Дайте знать, когда будете готовы, и я предоставлю ID нашего кошелька.
Жертва
Подождите. Моя команда работает с финансовым отделом, чтобы увидеть, какое дополнительное финансирование (если вообще возможно) мы можем найти. Тем временем у нас есть дополнительные вопросы. Можете ли вы предоставить следующие файлы (ниже), сообщить нам, сколько данных было взято, и является ли предоставленный вами список файлов полным списком? E:[redacted].pdf E:[redacted].pdf E:[redacted].pdf E:[redacted].pdf E:[redacted].pdf E:[redacted]3.pdf E:[redacted].pdf
Akira
Это полный список. У нас около 2 ГБ данных. Файлы будут предоставлены в ближайшее время.
Жертва
Нашему финансовому отделу нужно дополнительное время, чтобы посмотреть, могут ли они найти дополнительное финансирование, нам нужно ещё несколько дней. Но я буду держать вас в курсе, насколько это возможно.
Akira
Подготовьте всё к вторнику. Мы закроем сделку.
Akira
files.rar // 711 KB Akira Вы можете просмотреть файлы.
Жертва
скачиваю сейчас и буду обсуждать с моей командой. можете ли вы расшифровать эти файлы для меня.
Жертва
encrypted.zip // 19 KB
Akira
Я скоро загрузу их расшифрованными.
Akira
decrypted.zip // 9.88 KB Akira Вы можете проверить файлы.
Жертва
спасибо, скачиваю их сейчас. я буду держать вас в курсе.
Жертва
После тщательного рассмотрения и очень обширных обсуждений, мы достигли нашей максимальной бюджетной ёмкости в $135 000. Важно понимать, что эта цифра уже растягивает наши финансовые лимиты далеко за пределы доступного финансирования. Сумма, которую мы предлагаем — значительная шестизначная сумма, которую мы платим из наших личных средств. Пожалуйста, примите! мы можем произвести оплату немедленно. Пожалуйста, признайте наши ограничения и работайте с нами.
Akira
Мы видим ваше намерение урегулировать это, поэтому мы можем принять $150 000 и закрыть сделку. Между нами небольшой разрыв, и я думаю, это не должно быть для вас проблемой. Вот наш BTC-кошелёк [redacted]. Дайте знать, как скоро мы можем ожидать перевод.
Жертва
Мы ценим дополнительную скидку. Однако мы объяснили вам нашу финансовую ситуацию, и мы не можем найти такую сумму. Мне дали полномочия предложить вам 140k. Любая сумма больше этой выведет нас из бизнеса. Это всё ещё значительный шестизначный платёж для вас. Пожалуйста, примите, и давайте оба уйдём довольными.
Akira
ок, вы можете отправить $140k на тот же кошелёк из моего предыдущего сообщения. Как скоро мы можем ожидать перевод?
Жертва
Просто чтобы подтвердить: мы платим вам $140 000 на BTC-кошелёк [redacted] сегодня, взамен мы получим дешифраторы для всей сети, лог удаления, показывающий, что вы удалили наши данные с ваших серверов, детальный отчёт по аудиту безопасности о том, как вы атаковали нас, обещание никогда больше не атаковать нашу компанию, и пароль доменного администратора для нашей среды AD, чтобы начать восстановление, так как он был изменён, и мы не можем войти.
Akira
Мы подтверждаем условия и ID кошелька [redacted]
Жертва
спасибо, мы готовимся отправить. Жертва платёж отправлен Жертва https://mempool.space/tx/[redacted]
Akira
Получено. Пожалуйста, подождите.
Akira
unlocker.7z // 1.77 MB Akira unlocker.exe -p=»path_to_unlock» unlocker.exe -s=»C:\paths.txt» where «paths.txt» is a list of paths for the decryptor, each path on a new line ESXi commands
- chmod +x unlocker
- ./unlocker -p=»/vmfs/volumes»
Akira
Вы получите остальное в течение 24 часов.
Жертва
можете ли вы дать нам пароль доменного администратора? мы не можем войти
Akira
Да. Пожалуйста, подождите.
Жертва
у нас проблемы с большим файлом. он 5.3 ТБ, ошибка ниже Жертва file_logger error Open file with share check!
Akira
Я передам это моей команде. Пожалуйста, подождите.
Жертва
можете ли вы предоставить логин доменного администратора
Akira net user [redacted] [redacted] /dom net user [redacted] [redacted] /dom
Жертва
спасибо. дополнительно мы смогли расшифровать большой файл без ошибки. когда мы можем ожидать получить оставшиеся элементы сделки?
Akira
Вы получите это в течение следующих 24 часов. Извините за задержку.
Жертва
хорошо, спасибо
Akira
log_erase [redacted].txt // 2.06 KB Akira Первоначальный доступ к вашей сети был куплен в даркнете. Затем был проведён kerberoasting, и мы получили хеши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, нам удалось обнаружить некоторые ошибки, которые мы настоятельно рекомендуем устранить:
- Ни одному из ваших сотрудников не следует открывать подозрительные письма, подозрительные ссылки или скачивать какие-либо файлы, тем более запускать их на своём компьютере.
- Используйте надёжные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Установите 2FA везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы к атакам.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте jump host для вашего VPN. Используйте на нём уникальные учётные данные, отличающиеся от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает токен-ключ.
- Как можно чаще инструктируйте ваших сотрудников о мерах предосторожности онлайн-безопасности. Самый уязвимый пункт — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д.
Мы гарантируем, что не будем продавать или публиковать ваши данные, сохраним этот разговор в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова.
Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за работу с нами и ваше внимательное отношение к вашей безопасности.
Почему финальное сообщение звучит как корпоративная рассылка
Последняя реплика злоумышленников содержит пожелания «безопасности, спокойствия и много преимуществ». Такая формулировка намеренно копирует тон легитимных сервисных писем. Когда жертва видит подобный текст после недель стресса, включается механизм когнитивного упрощения: мозг ищет паттерны знакомых ситуаций. Корпоративная вежливость создаёт ложное ощущение завершённости инцидента. Это снижает вероятность обращения в правоохранительные органы или передачи логов исследователям.
Как устроена ошибка с файлом на 5.3 ТБ
Сообщение file_logger error Open file with share check! указывает на конфликт блокировок. Шифровальщик запрашивает эксклюзивный доступ к файловому дескриптору. Если гипервизор ESXi удерживает образ диска в памяти, операционная система отклоняет запрос.
ChaCha20 обрабатывает данные потоком. При прерывании шифрования файл остаётся в гибридном состоянии: часть данных зашифрована, часть нет, а служебный футер с ключом может отсутствовать. Дешифратор ожидает строгую структуру: заголовок, зашифрованный блок, подписанный ключ. Нарушение структуры приводит к фатальному завершению.
Жертва сообщила об ошибке, а не молчала. Это говорит о технической компетенции на их стороне. Но сам факт, что проблема возникла с файлом большого размера, указывает на ограничение в реализации: буферы дешифратора могут не масштабироваться для файлов свыше определённого порога.
Зачем жертва отправляет ссылку на mempool.space
Ссылка вида https://mempool.space/tx/[redacted] позволяет злоумышленникам увидеть транзакцию в мемпуле Биткоина до первого подтверждения. Мемпул — очередь неподтверждённых операций. Просмотр этой очереди даёт мгновенную верификацию оплаты без ожидания 10-60 минут на включение в блок.
Для расследования такая ссылка — артефакт. Хеш транзакции позволяет отследить входные и выходные адреса, построить граф перемещения средств. Если группа использует кластер кошельков для разных жертв, появляется точка корреляции.
Но есть нюанс. Если жертва покупала биткоин через биржу с KYC, правоохранительные органы могут запросить данные у платформы. При покупке через локального брокера без верификации цепочка обрывается. Злоумышленники рекомендуют Coinbase и Binance не случайно: они знают, что такие платформы собирают данные пользователей.
Что скрывает параметризация дешифратора
Команды дешифратора выглядят просто: unlocker.exe -p=»path_to_unlock» unlocker.exe -s=»C:\paths.txt»
Параметр -s принимает файл со списком путей. Дешифратор не сканирует диск самостоятельно. Он обрабатывает только явно указанные пути.
Такое решение ускоряет работу: нет рекурсивного обхода файловой системы. Оно даёт контроль: если жертва укажет путь к системному файлу, дешифратор может его повредить. Оно усложняет анализ: исследователю нужно восстановить содержимое paths.txt для полной картины заражения.
Для ESXi добавляется слой совместимости: chmod +x unlocker делает файл исполняемым в Linux-подобной среде. Запуск ./unlocker -p=»/vmfs/volumes» работает на уровне хранилища гипервизора. При наличии снапшотов или тонких дисков метаданные VMDK могут обработаться некорректно.
Почему смена пароля доменного администратора работает как якорь
Жертва указывает, что пароль доменного администратора изменён и вход невозможен. Это не побочный эффект, а механизм удержания. Даже при наличии резервных копий без учётных данных домена невозможно восстановить контроллеры, групповые политики, доверительные отношения.
Kerberoasting даёт хеши сервисных аккаунтов. Подбор этих хешей офлайн через Hashcat или John the Ripper возвращает чистые пароли. Если среди скомпрометированных аккаунтов есть пользователь с правом сброса паролей, злоумышленник меняет пароль доменного администратора без генерации подозрительной активности в логах.
В диалоге жертва запрашивает пароль только после оплаты. До перевода у неё нет возможности начать восстановление. Последовательность «сначала деньги, потом доступ» создаёт искусственную зависимость.
Чек-лист для работы с дешифратором после оплаты
[√] Запустите дешифратор на изолированной копии файла, а не на оригинале [зачем: ошибка в алгоритме может безвозвратно повредить исходные данные]
[√] Проверьте наличие футера в зашифрованном файле перед запуском [зачем: при прерванном шифровании футер с ключом может отсутствовать, дешифратор не сработает]
[√] Для ESXi создайте снапшот виртуальной машины перед расшифровкой [зачем: при ошибке процесса вы сможете откатиться к исходному состоянию]
[ ] Не указывайте в paths.txt системные пути вроде C:\Windows [зачем: дешифратор может обработать незашифрованные файлы и повредить их]
[√] Сохраните хеш транзакции и скриншоты диалога до закрытия чата [зачем: после удаления чата не останется доказательств для расследования или страховой заявки]
Что остаётся за кадром этого диалога
Жертва шесть раз подряд пишет «Hello» без ответа. Почему общение не прекратилось? Возможно, в readme.txt был указан единственный канал связи через Tor. Возможно, стресс перевесил рациональное мышление. Паттерн повторяющегося сообщения без ответа — маркер высокого напряжения. Злоумышленники могли использовать это для давления.
Ещё момент: обещание «удалить чат позже». Если чат работает через Tor-сервис, удаление на стороне злоумышленников не стирает логи у жертвы. Упоминание удаления создаёт иллюзию конфиденциальности. Снижает ли это вероятность утечки диалога — открытый вопрос.
Термины в контексте
- ChaCha20 — потоковый шифр, шифрующий данные побайтово с использованием ключа и счётчика. В Akira каждый файл получает уникальный ключ, что предотвращает атаки по повторному использованию.
- RSA — асимметричный алгоритм, где открытый ключ шифрует, закрытый расшифровывает. В гибридной схеме RSA защищает ключи ChaCha20.
- Kerberoasting — техника получения хешей паролей сервисных аккаунтов из билетов Kerberos для офлайн-подбора без генерации шума в логах.
- ESXi — гипервизор VMware, управляющий виртуальными машинами. Шифрование на уровне /vmfs/volumes затрагивает все ВМ на хосте.
- Mempool — очередь неподтверждённых транзакций в блокчейне Биткоина. Просмотр мемпула позволяет увидеть платёж до включения в блок.
- Футер файла — служебный блок в конце зашифрованного файла с метаданными: версия шифровальщика, зашифрованный ключ, контрольная сумма.
- Share check — проверка прав доступа к файлу в ОС. При эксклюзивной блокировке файла другим процессом запрос на открытие завершается ошибкой.
- Domain Admin — встроенная группа в Active Directory с полными правами на управление доменом. Компрометация даёт полный контроль над инфраструктурой.