Тестовая расшифровка файлов не гарантирует доверие: даже после отправки биткоин-транзакции совет директоров может остановить сделку из-за отсутствия юридических гарантий возврата данных»
Почему жертва отказалась платить выкуп после тестовой транзакции биткоином
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ответ, предоставим все детали.
Victim
Да
Akira
Подождите немного.
Akira
List.7z // 554 KB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, и мы вернём расшифрованные копии.
Victim
[redacted].pdf
Victim
[redacted].docx
Victim
[redacted].docx
Victim
Files.zip // 54.1 KB
Akira
Передаю в технический отдел. Пожалуйста, подождите.
Akira
decrypted.7z // 22 KB
Akira
files.7z // 538 KB
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая могла бы помочь нам рассчитать наше требование к вам. Мы готовы установить цену в $350 000 за ВСЕ услуги, которые мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
Нас интересуют отдельные части. Можете детализировать цену по каждой услуге?
Akira
1) полная помощь в расшифровке — $250 000;
2) подтверждение удаления данных — $150 000;
3) отчёт по уязвимостям, которые мы обнаружили — $25 000;
4) гарантии включены в каждый из вышеуказанных вариантов.
Victim
Запрашиваемая сумма завышена. Запрашиваемая вами сумма составляет половину прибыли компании за весь год. Если обратиться к зашифрованным данным, их можно восстановить путём ручного восстановления баз данных, что определённо стоит меньше $250 000 — стоимости полной расшифровки. Мы всё ещё готовы к переговорам, но с гораздо меньшей суммой. Максимум, который мы можем предложить, — $50 000, но мы не можем выплатить сумму полностью, а только частями, потому что не можем законно списать эту сумму из бухгалтерии. Наше предложение — разделить эту сумму на 10 пакетов, и вы расшифровываете для нас пакеты файлов. Мы платим авансом за каждый пакет.
Akira
Мы никогда не примем ваши условия, так что мы можем закончить прямо сейчас. Вы можете торговаться, но мы никогда не опустимся ниже $230k за полный пакет. Первый вариант — $140 000, и это нижняя граница. Мы принимаем оплату полностью, так что вы можете переводить средства вашему брокеру частями.
Victim
Как мы будем платить?
Victim
какой банковский счёт?
Akira
Мы принимаем оплату в биткоинах. Как только мы договоримся о цене, я предоставлю вам ID нашего кошелька.
Victim
Совет директоров согласовал выплату 100 000 евро
Victim
Это за полную расшифровку
Victim
Мы можем сделать это одним платежом
Akira
ок. Мы готовы закрыть сделку за $120 000. Я довольно уверен, что вы можете немного добавить к вашему текущему предложению и совершить транзакцию, которая устроит обе стороны. Вот наш BTC-кошелёк [redacted] Пожалуйста, сообщите, как скоро мы можем ожидать перевод.
Akira
Здравствуйте. Вы собираетесь завершить сделку с нами?
Victim
Здравствуйте! Мы обрабатываем запрос с Финансовым отделом и Юридическим отделом
Akira
Как долго нам ждать?
Victim
Мы сделали тестовую транзакцию. Совет директоров с недоверием относится к этому типу оплаты. Теперь мы ждём подтверждения платежа.
Akira
0.00430313 получено. Вы можете переходить к полной сумме.
Akira
Как ваши успехи?
Victim
Проблемы экономического отдела
Akira
Как скоро мы можем ожидать остаток?
Akira
Я жду обновления от вас сегодня.
Victim
Похоже, совет директоров не доверяет оплате денег
Akira
Можете ли вы пожалуйста объяснить? Мы собираемся заключить сделку? Вы уже отправили нам тестовый платёж.
Victim
Совет директоров пришёл к выводу, что у нас нет гарантии, что мы получим наши данные обратно. Риск не получить ничего против суммы, которую мы должны заплатить.
Akira
Мы доказали, что можем расшифровать файлы, и после оплаты мы можем вернуть вам файлы, которые мы взяли из вашей сети. Наше первоначальное требование было значительно снижено, и теперь вы говорите, что есть риск. Правильно ли я понял, что это ваше окончательное решение и сделки с вами не будет?
Victim
Мне жаль. Это не моё решение
Akira
ОК Спасибо за информацию. Мы объявим об этом инциденте в нашем блоге, и ваши данные также будут там загружены.
Как работает модульное ценообразование у вымогателей
Группа разделяет услуги на отдельные опции с разной стоимостью. Расшифровка — $250 000, удаление данных — $150 000, отчёт — $25 000. Такая структура позволяет жертве выбирать между восстановлением операций и снижением репутационных рисков. Злоумышленники используют эту гибкость как переговорный инструмент: если жертва не может оплатить полный пакет, всегда есть вариант «только расшифровка».
Модульная монетизация работает на психологии принятия решений. Когда перед жертвой стоит выбор между $350 000 «за всё» и $140 000 «только за расшифровку», вторая опция выглядит рациональной даже при ограниченном бюджете. Это снижает порог входа для сделки.
Почему тестовая расшифровка не снимает риски для жертвы
Техническое доказательство работоспособности дешифратора не решает юридическую проблему. Совет директоров в диалоге прямо формулирует дилемму: «риск не получить ничего против суммы, которую мы должны заплатить». Даже после успешной расшифровки тестовых файлов и отправки тестовой биткоин-транзакции (0.00430313 BTC) остаётся неопределённость: получит ли организация полный доступ к данным после перевода основной суммы.
Биткоин-транзакции необратимы. После подтверждения платежа в блокчейне отменить перевод невозможно. Это создаёт асимметрию рисков: злоумышленники получают гарантированную оплату, жертва — только обещание. Юридические отделы крупных организаций редко одобряют такие сделки без гарантий, которые невозможно обеспечить в анонимной среде.
Как бухгалтерские ограничения влияют на переговоры о выкупе
Жертва предлагает оплату частями: «разделить сумму на 10 пакетов, платить авансом за каждый». Это попытка адаптировать незаконную транзакцию под внутренние финансовые процедуры. Крупные компании не могут просто «списать» крупную сумму в криптовалюте без документального обоснования. Разбиение платежа на части — способ обойти внутренние контрольные механизмы.
Злоумышленники отвергают такую схему: «Мы принимаем оплату полностью». Для них дробление платежа увеличивает риски: жертва может остановить выплаты после получения части данных, а отслеживание множественных транзакций усложняет отмывание средств.
Что происходит когда совет директоров теряет доверие к сделке
Финальный отказ жертвы основан не на цене, а на отсутствии гарантий. Фраза «у нас нет гарантии, что мы получим наши данные обратно» отражает фундаментальную проблему рынка вымогательства: доверие невозможно формализовать. Даже если группа выполнила обещания в прошлых случаях, каждая сделка — отдельный риск.
Злоумышленники реагируют стандартно: угроза публикации данных. Это последний рычаг давления, когда финансовые переговоры исчерпаны. Для жертвы это означает переход от операционного ущерба к репутационному и регуляторному.
Как проверить работоспособность дешифратора без полной оплаты
Жертва в диалоге использует правильную тактику: запрос расшифровки случайных файлов перед сделкой. Это минимально необходимый шаг верификации. Для более надёжной проверки можно запросить:
[√] Расшифровку файлов разных типов (документы, базы данных, конфигурации) — чтобы убедиться, что инструмент работает не только с одним форматом
[√] Расшифровку файлов с разных серверов — чтобы исключить ситуацию, когда ключи работают только для части инфраструктуры
[ ] Хэш-суммы оригинальных файлов до шифрования — для последующей сверки целостности данных
[ ] Пошаговую инструкцию по запуску дешифратора в изолированной среде — чтобы оценить сложность восстановления
Каждый пункт снижает риск, но не устраняет его полностью. Даже при успешной проверке остаётся вероятность, что полная расшифровка потребует дополнительных действий или ключей, которые злоумышленники не предоставят.