Эмоциональный аргумент о благотворительности для больных детей сработал не как манипуляция, а как рычаг: хакеры согласились на поэтапную оплату и передали доказательства удаления данных до получения полной суммы редкое отклонение от стандартного сценария вымогательства
Вижу в этом диалоге нестандартную динамику: жертва маленькая семейная юридическая фирма использует прозрачность и социальную ответственность как переговорный инструмент. Вместо скрытности или агрессии они открыто делятся финансовыми ограничениями, ссылаются на банковские регуляции и просят учесть благотворительную деятельность. Хакеры, обычно игнорирующие такие аргументы, идут на уступки: снижают цену, принимают оплату частями, отправляют логи удаления до финального перевода.
Пример того, как честность и последовательность могут изменить баланс сил даже в асимметричном диалоге с вымогателями.
Перевод диалога
Victim
Это [redacted]. Вы долго не отвечали на мои письма
Akira
Мы ответили, что можем общаться только в этом чате. Он защищён.
Victim
Я объяснил, что TOR запрещён в наших ИТ-системах. Это личное устройство.
Victim
Что дальше?
Akira
listing.7z // 3.78 MB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла до 10 МБ каждый из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла до 10 МБ каждый в наш чат, и мы загрузим расшифрованные копии обратно.
Мы изучаем ваши финансовые документы, чтобы сформулировать разумное требование к вам. Мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Если мы не получим ответ в течение следующих 24 часов, мы будем вынуждены объявить об утечке ваших корпоративных данных в нашем блоге.
Victim
Мы скачаем и изучим файлы, чтобы проверить, что все они принадлежат нам. Это может занять больше 24 часов, так как наша ИТ-команда очень занята. Пожалуйста, будьте с нами очень терпеливы.
Victim
[redacted].log.akira // 1.02 MB
Victim
[redacted].ps1.akira // 255 KB
Victim
[redacted].log.akira // 1.02 MB
Victim
[redacted].vmcx.akira // 77.8 KB
Victim
[redacted].vhdx.mrt.akira // 77.8 KB
Victim
Вот несколько файлов, чтобы доказать, что вы можете расшифровать наши данные.
Victim
Если вы объявите наше имя или опубликуете любые данные в любом блоге. Сделки не будет.
Akira
Пожалуйста, подождите файлы.
Akira
decrypted.7z // 60.3 KB
Akira
Вы можете проверить файлы.
Victim
Нас интересует только расшифровка. Какая цена за это? Как небольшая местная фирма, мы переживаем не лучший год, и наши доступные средства очень ограничены. Это займёт у нас недели, потому что наш денежный поток очень напряжённый. Мы ведём много дел на благотворительной основе и поддерживаем детей с неизлечимыми заболеваниями. Вы видели это в наших файлах. Если вы заберёте наши деньги, мы сможем давать меньше нашим благотворительным организациям. Пожалуйста, помните об этом, когда говорите о цене.
Victim
Нам всё ещё нужно протестировать файлы расшифровки, но ИТ-специалисты уже ушли домой на сегодня.
Akira
Вы получите цену в ближайшее время.
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая могла бы помочь нам рассчитать наше требование к вам. Мы готовы установить цену в $2 000 000 за ВСЕ услуги, которые мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Akira
Или 2 723 140,00 в сингапурских долларах.
Victim
Уважаемые господа, Мы подтверждаем ваш запрос и сумму, но с сожалением вынуждены сказать, что это просто слишком высокая цифра для нас. Мы не крупная юридическая фирма. Ваша атака нанесла ущерб нашей компании и расстроила всех наших сотрудников. Мы заботимся о наших сотрудниках и клиентах, и мы — небольшая семейная юридическая фирма, которая много работает на благотворительной основе. Мы особенно собираем средства для очень больных детей. Сколько бы мы ни заплатили, это уменьшит сумму, которую мы можем передать на благотворительность. Кроме того, если мы переведём крупную сумму, наши банки заподозрят неладное и заблокируют наши счета. Это также будет означать, что вы получите ноль. Мы хотим разрешить этот вопрос, но просим быть более реалистичными и проявить здравый смысл в отношении меньшей суммы. Мы просим учесть, что мы связались с вами рано. Мы не играем в игры и не тратим ваше время. Мы просто хотим расшифровать наши файлы и спасти наш семейный бизнес. Пожалуйста, покажите нам хорошую скидку и скажите, как заплатить? [redacted]
Akira
Здравствуйте. Мы хорошо осведомлены об отрасли, в которой вы работаете. Это не имеет значения, к счастью или нет. Мы слышали эти истории так много раз. Мы готовы сделать шаг навстречу вам и снизить до $1,7 млн долларов США. Наше терпение имеет предел, так что вам лучше ускорить процесс, и мы сразу вернём вас в строй. Любые дальнейшие осложнения могут привести к раскрытию ваших данных, а также к удалению ключей расшифровки. Мы подождем ещё 24 часа, и если не будет прогресса, мы удалим этот чат. Мы не заинтересованы в долгих диалогах.
Victim
Уважаемые господа, мы подтверждаем и ценим скидку, которую вы предложили. Мы обсудим и вернёмся к вам. Это может занять у нас больше 24 часов, поэтому, пожалуйста, будьте терпеливы. Если вы утечете / опубликуете наши данные, сделки не будет. [redacted].
Victim
Уважаемые господа, мы отвечаем вам своевременно и благодарим за терпение. Мы относимся к этому вопросу крайне серьёзно, но мы никогда не сталкивались с такой проблемой раньше, и мы надеемся, что вы понимаете из вашего предыдущего опыта и больших навыков, что мы не можем заплатить в течение 24 часов, но мы хотим разрешить это с вами. Пожалуйста, поймите время, которое нам нужно. Мы можем доказать, что мы много делаем для благотворительности, чтобы помочь детям в нашем мире: [redacted]. Мы говорим вам правду, и вот доказательство. У нас недостаточно доступных средств для выполнения вашего запроса, но мы можем сделать вам очень щедрый платеж в размере 900 000 долларов США в обмен на расшифровку наших данных. Существует большой риск для вас, что более крупный платеж предупредит наш банк, и их правила означают, что наш счёт будет заморожен на недели, пока они расследуют. Это будет означать серьёзные задержки, возможно, ноль для вас и отсутствие расшифровки для нас. Вы этого хотите? Пожалуйста, примите наше щедрое и разумное предложение и поделитесь своим BTC-кошельком, чтобы мы могли начать переводить средства и произвести платеж. Мы никогда не будем иметь дела, если вы утечете любые наши данные или упомянете нашу компанию в любом блоге. [redacted]
Akira
Я скоро вернусь.
Akira
Что ж, начальство ценит ваше предложение, а также вашу готовность покончить с этим. Мы хорошо осведомлены о том, как работают платежи. Ваш перевод не будет заморожен, если вы обратитесь к любому местному брокеру, который может облегчить перевод. Во всяком случае, моё начальство согласилось сделать последний шаг и снизить до $1 500 000. Мы можем даже предложить вам разделить это на два платежа. Вот наш ID кошелька BTC для оплаты: [redacted]
Victim
Мы отмечаем ваше снижение требования и вернёмся к вам, как только сможем, с новостями. [redacted]
Akira
Я на связи.
Victim
Уважаемые господа, мы всё ещё рассматриваем ваше предыдущее предложение. Можете ли вы порекомендовать / предложить обменник BTC для такой компании, как наша. Найти этот сервис сложно. [redacted]
Akira
Чтобы получить биткоины, вам нужно зайти на любую биржевую платформу, например binance или coinbase. Вот руководства:
https://www.coinbase.com/how-to-buy/bitcoin
https://www.binance.com/en/how-to-buy/bitcoin
Вы также можете купить биткоин у любых местных брокеров. Если вы снимаете средства со своего банковского счёта, то вы должны сообщить банку, что эти деньги вам нужны только для инвестиционных целей. Как только мы получим платеж, мы сразу предоставим дешифраторы для каждой из ваших систем.
Akira
Здравствуйте. Если мы не получим платеж завтра, нам придётся опубликовать ваши данные. Пусть это будет 18:00 по сингапурскому времени.
Akira
Здравствуйте. Есть новости? Должны ли мы объявить об инциденте в нашем блоге?
Victim
Уважаемые господа, Мы очень сожалеем о задержке. Мы объяснили, что находимся в процессе организации перевода. Мы не можем произвести платеж в размере $1,5 млн, так как это слишком много для нас, чтобы перевести без срабатывания правил безопасности и блокировки наших счетов. Наш финансовый отдел сообщил нам, что мы можем перевести максимум $1 075 995 без срабатывания ограничений безопасности. Мы попробовали все варианты, но не можем произвести вам платеж до следующей недели. На следующей неделе мы сможем заплатить. Примете ли вы $1 075 995 в этих обстоятельствах? Это безопаснее для вас и для нас. Мы заплатим в два этапа, как только безопасно получим ваши средства. Не публикуйте наше имя или данные, или сделка отменяется. [redacted]
Akira
Боссы сказали вам сумму, которую мы примем. Не испытывайте наше терпение, если не хотите повышения требования. Мы готовы дать вам больше времени, но без дальнейших скидок. Мы знаем вашу ценность. Заплатите в понедельник, или мы опубликуем ваши данные в нашем блоге. Никаких больше оттягиваний.
Victim
Уважаемые господа, мы благодарны вам и вашему начальству за терпение. Мы должны избежать любого повышения. Не публикуйте наши данные. Как я уже говорил раньше, мы новички в совершении криптоплатежей, и это занимает больше времени, чем мы хотим, но мы действительно намерены заплатить и разрешить этот вопрос. Мы добиваемся прогресса, но нет уверенности, в какой день и в какое время. Мы благодарны за ваше понимание, и я сообщу вам, в какой день мы сможем начать перевод на ваш счёт. Позвольте мне обновить вас в понедельник на следующей неделе о точной дате платежа и о том, сколько мы можем перевести. Никакой сделки, если вы решите опубликовать. [redacted].
Akira
Мы на связи.
Victim
Уважаемые господа, Мы благодарим вас за терпение. Мы активно пытаемся обеспечить BTC для производства платежа вам и разрешения этого вопроса. Мы новички в BTC, и это занимает больше времени, чем мы ожидали, из-за размера платежа и вопросов безопасности от нашего банка. Мы должны избежать блокировки наших счетов любой ценой. Мы вернёмся к вам с оценкой времени для производства платежа, как только сможем, и будем держать вас в курсе. [redacted]
Akira
Прошло больше недели. Я считаю, что нам придётся опубликовать ваши данные на этой неделе, если мы не получим платеж.
Victim
Уважаемые господа, мы движемся к платежу так быстро, как можем. Мы хотим разрешить это и разблокировать наши файлы. Пожалуйста, проявите терпение и здравый смысл, поскольку вы имеете дело с компанией, которая никогда раньше не покупала крупные суммы BTC. Мы учимся и прогрессируем. Не публикуйте ничего, и мы завершим это, как только сможем. [redacted]
Akira
Мы на связи. Держите нас в курсе, пожалуйста, ежедневно.
Victim
Уважаемые господа, Мы находимся на завершающей стадии организации платежа. Мы ценим ваше понимание и терпение, пока мы убеждаемся, что это можно разрешить без риска для вас от закрытия наших счетов банками. Прежде чем мы сможем согласовать окончательную сумму, какие заверения и гарантии вы можете дать мне, что наши данные, файлы, имена файлов или название компании ещё не были проданы или утечены Akira или вашими коллегами? Это самый важный элемент для нас. [redacted]
Akira
Мы ценим нашу репутацию и соблюдаем все достигнутые соглашения. Вы не найдёте ни одного случая, когда мы нарушили соглашение или не выполнили какие-либо пункты.
Мы — те, кто может корректно расшифровать ваши данные и восстановить инфраструктуру за короткий срок.
После оплаты вы получите дешифратор для каждой из ваших систем и инструкцию по его использованию для конкретного файла/системы. Вы сможете восстановить инфраструктуру в течение 24 часов. Если вы столкнётесь с проблемами в процессе расшифровки, мы будем здесь, чтобы поддержать.
Вы получите лог удаления, что означает, что RAID-диски, содержащие единственную копию ваших данных, полностью отформатированы и стёрты.
Вы получите отчёт по безопасности, который включает информацию о том, как мы смогли проникнуть в вашу сеть, а также эксклюзивную информацию из первых рук о состоянии вашей сети, уязвимостях, которые мы нашли. Более того, вы получите высококачественные технические рекомендации по устранению любых уязвимостей и укреплению вашей сети для защиты внутренней и внешней инфраструктуры.
Вы также получите письменные гарантии, что мы не будем продавать или публиковать ваши данные, сохраним этот разговор в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова.
Akira
Мы ждём перевод в $1,5 млн, верно?
Victim
Уважаемые господа, Мы благодарны за ваши заверения, что данные не были утечены, и вы верите в честь и репутацию. Мы хотим завершить это и надеемся, что сможем согласовать цену. Пожалуйста, помните, что мы просили только часть ваших услуг: (1) Уничтожение данных, которыми вы владеете (2) Предоставление рабочих ключей расшифровки для восстановления наших систем. Какова ваша лучшая и окончательная цена за это. Мы не причиняли вам никаких разочарований и надеемся, что ваше начальство может дать нам скидку в этих обстоятельствах. Будьте реалистичны с нами, и давайте согласуем окончательную сумму в $1 240 799, и мы пожмём руки сегодня. Пожалуйста, примите это предложение, и давайте оба двинемся дальше. [redacted]
Akira
Я скоро вернусь.
Akira
Что ж, мы провели внутреннее обсуждение, в результате которого старшие руководители согласились снизить до $1 400 000, чтобы наконец покончить с этим. Мы предоставили вам скидку в $600 000 в общей сложности, что кажется справедливым. Мы не можем пойти ниже с этого момента. Мы не оказывали на вас никакого давления во время переговоров, мы не утекли ваши данные и не раскрыли детали этого инцидента. Давайте закончим это сегодня. Кошелёк всё тот же: [redacted]
Akira
Обратите внимание, что эта цена действительна только сегодня. Завтра нам придётся вернуться к требованию в $1,5 миллиона. Давайте не усложнять.
Victim
Уважаемые господа, это очень крупная сумма для нас, и мы не можем пойти выше ни при каких обстоятельствах. Мы можем согласовать $1 400 000. Мы хотели бы произвести платеж сегодня и хотим согласовать сумму BTC по текущему курсу, так как мы не можем перевести больше. Можете ли вы согласовать 21,02 BTC в общей сложности? Если да, мы можем начать с тестового платежа в $1000. Вы согласны? [redacted]
Akira
Мы можем согласовать 21,07 BTC в общей сложности. Ждём тестовый платеж.
Victim
Уважаемые господа, мы согласовываем цену в 21,07 BTC и отправим начальный тестовый платеж в $1000 сейчас. Как только вы подтвердите успешное получение, мы отправим 50% платежа и будем ждать ваших доказательств, что наши данные были полностью удалены. Когда у нас будет это доказательство, мы авторизуем платеж оставшейся суммы, в общей сложности 21,07 BTC. Затем мы ожидаем получить ключ расшифровки и вашу помощь, если потребуется, для восстановления наших файлов. [redacted]
Akira
Мы подтверждаем условия. Ждём тест.
Akira
0.01477521 BTC получено. Вы можете переходить к первой части.
Victim
Спасибо за подтверждение. Мы отправим следующий платеж сейчас. [redacted]
Akira
На связи. Готовим доказательство удаления сейчас.
Akira
Мы получили первую часть. Отправляем доказательство удаления сейчас.
Akira
[redacted]_log_del.zip // 3.06 MB
Akira
Пожалуйста, см. доказательство удаления выше. Мы ждём оставшуюся часть.
Victim
Спасибо. Мы изучаем файл. Пожалуйста, подождите
Akira
На связи.
Victim
Уважаемые господа, Мы отправили финальный платеж и ждём, что вы завершите соглашение. Пожалуйста, отправьте ключи расшифровки для разблокировки наших файлов и систем. [redacted]
Akira
Мы получили финальный платеж, спасибо.
Akira
unlockers.7z // 2.02 MB
Akira
unlocker.exe -p=»path_to_unlock»
unlocker.exe -s=»C:\paths.txt»
где «paths.txt» — это список путей для дешифратора, каждый путь с новой строки
Команды ESXi
1) chmod +x unlocker
2) ./unlocker -p=»/vmfs/volumes»
Как работает поэтапная оплата в переговорах с вымогателями
Жертва в этом диалоге предлагает схему: тестовый платеж → 50% → доказательство удаления → финальные 50%. Это отклонение от стандартной модели «всё или ничего». Хакеры обычно требуют полную оплату перед передачей любого инструмента. Здесь они соглашаются на промежуточный этап — отправку лога удаления до получения второй половины суммы.
Такая структура снижает риск для жертвы: если хакеры исчезнут после первого транша, потеря ограничена 50%. Для злоумышленников это повышает доверие жертвы и вероятность завершения сделки. Исследования показывают: поэтапные платежи увеличивают вероятность выплаты на 18% в случаях с малым и средним бизнесом [[31]].
Проверьте прямо сейчас, есть ли у вашей организации процедура согласования криптоплатежей с банком. Если перевод крупной суммы в биткоинах требует предварительного уведомления, вы можете использовать это как аргумент в переговорах — не как оправдание задержки, а как объективное ограничение.
Почему аргумент о благотворительности сработал в этом случае
Жертва несколько раз упоминает работу с детьми с неизлечимыми заболеваниями. Это не манипуляция, а факт, подтверждённый ссылками на публичные источники. Хакеры, обычно игнорирующие эмоциональные апелляции, в этом диалоге реагируют: «Мы слышали эти истории так много раз» — но затем всё же снижают цену на $600 000.
Возможные причины:
[√] Хакеры действительно проверили благотворительную активность жертвы и сочли её достоверной — публикация данных такой организации могла вызвать негативный резонанс даже в их среде
[√] Маленькая юридическая фирма — не приоритетная цель для длительной осады: затраты времени на переговоры превышают потенциальную выгоду
[√] Жертва демонстрировала последовательность: каждый ответ был своевременным, аргументированным, без агрессии — это снижало операционное трение для хакеров
[ ] Аргумент о благотворительности стал «крючком» для завершения сделки: хакеры хотели закрыть кейс, а не тянуть его неделями
Каждый пункт меняет оценку рисков. Если хакеры боятся репутационного ущерба от атаки на благотворительную организацию, это создаёт дополнительный рычаг для жертвы.
Как хакеры проверяют финансовые возможности жертвы по внутренним документам
Фраза «мы просмотрели банковские выписки, чистую прибыль, лимиты киберстрахования» — не блеф. Группы уровня Akira действительно проводят финансовый анализ перед выставлением счета. В этом диалоге они даже конвертируют сумму в сингапурские доллары (2 723 140,00 SGD), что указывает на доступ к финансовой отчётности жертвы.
Что они ищут:
[√] Выписки по счетам — чтобы оценить ликвидность и доступные резервы
[√] Договоры киберстрахования — чтобы понять верхний предел возможной выплаты
[√] Внутренние бюджеты на ИБ — чтобы оценить, сколько жертва уже тратит на защиту
[ ] Данные о благотворительных переводах — чтобы проверить заявления жертвы и использовать их в переговорах
Цена в $2 000 000 в начале диалога — не случайная цифра. Это результат анализа. Если у жертвы лимит киберстрахования $3 млн, запрос в $2 млн выглядит «разумным» в рамках покрытия. Снижение до $1,4 млн — компромисс между максимальной извлекаемой суммой и вероятностью получения платежа.
Какие технические детали раскрыты в инструкциях по расшифровке
Хакеры передают архив unlockers.7z с инструкциями для Windows и ESXi. Команды для Windows:
unlocker.exe -p=»path_to_unlock»
unlocker.exe -s=»C:\paths.txt»
где paths.txt — список путей для дешифратора, каждый путь с новой строки
Для ESXi:
1) chmod +x unlocker
2) ./unlocker -p=»/vmfs/volumes»
Параметр -s позволяет задать файл со списком путей — это ускоряет расшифровку в распределённых средах. Параметр -p задаёт корневой путь для рекурсивного сканирования.
Важный момент: в диалоге нет упоминания параметра —secret id, который фигурировал в других случаях Akira. Возможно, в этой версии дешифратора привязка к сессии реализована иначе, или хакеры упростили процесс для ускорения восстановления.
Проверьте, есть ли в вашей инфраструктуре системы с открытым доступом по SSH или RDP без MFA. Именно через такие точки хакеры получают первоначальный доступ, прежде чем запускать шифровальщик.
Почему хакеры согласились передать логи удаления до полной оплаты
Это редкое отклонение от стандартной тактики. Обычно хакеры требуют полную оплату перед передачей любого доказательства. Здесь они отправляют [redacted]_log_del.zip после получения 50% платежа.
Возможные причины:
[√] Хакеры хотят завершить сделку быстро: маленькая фирма — не приоритетная цель для длительных переговоров
[√] Они уверены, что жертва заплатит вторую часть: последовательность и прозрачность жертвы снизили операционные риски для хакеров
[√] Лог удаления — не критичный актив: даже если жертва получит его и откажется платить дальше, хакеры не теряют ключи расшифровки
[ ] Это часть стратегии построения репутации: группы вроде Akira заинтересованы в том, чтобы жертвы верили в выполнение обещаний — это упрощает будущие переговоры
Для жертвы это важный прецедент: получение доказательства до финального платежа снижает риск полной потери средств.
Какие индикаторы компрометации искать после атаки Akira
Если вы расследуете инцидент с участием Akira, обратите внимание на:
[√] Файлы с расширением .akira или .powerranges — маркер шифрования
[√] Записи в логах о запуске процессов с параметрами —secret id, —logs trace, —encryption_percent
[√] Подозрительные подключения к доменам в зонах .onion, .tk, .ml
[√] Использование утилит вроде RClone, 7z, curl для эксфильтрации или подготовки данных
[ ] Изменения в политиках паролей или отключение MFA незадолго до инцидента
Хэш-образцы для поиска: проверьте базы VirusTotal и ANY.RUN по тегу «Akira». Группа часто перекомпилирует бинарники, но сигнатуры кода и использование библиотеки Nettle сохраняются.
Почему прозрачность и последовательность могут изменить баланс в переговорах
Жертва в этом диалоге не скрывает ограничения, не играет на время, не угрожает. Она честно сообщает: «мы новички в криптоплатежах», «банк заблокирует счёт при крупной сумме», «нам нужно больше 24 часов». И хакеры реагируют: дают больше времени, снижают цену, принимают поэтапную оплату.
Это не универсальная стратегия. Но в случаях с малым бизнесом, где хакеры не готовы тратить недели на осаду, прозрачность может стать преимуществом. Если вы можете доказать финансовую несостоятельность без агрессии, вы создаёте пространство для компромисса.
Проверьте, есть ли у вашей команды заранее согласованный протокол реагирования на вымогателей. Если каждое сообщение от хакеров требует экстренного согласования с руководством, вы уязвимы к манипуляциям через срочность.