Жертва проходит полный цикл переговоров, оплачивает $250 000, получает дешифратор и сталкивается с тем, что инструмент не работает, а пароль от сервера изменён. Хакеры исправляют ошибку, но только после повторных запросов. Для организации это означает дополнительные часы простоя и неопределённость: а что если следующая «поправка» тоже окажется нерабочей?
Перевод диалога
Victim
Здравствуйте, я видел ваше сообщение, которое вы оставили в нашей системе.
Victim
Здравствуйте, вы на связи?
Akira
Здравствуйте
Akira
Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ответ, предоставим все детали.
Victim
Да. У меня есть полномочия заниматься этим.
Akira
Пожалуйста, подождите детали.
Akira
List.rar // 1.52 MB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, и мы вернём расшифрованные копии.
Victim
Файл rar защищён паролем и не может быть извлечён.
Victim
Однако мы не согласны отправлять что-либо от нас обратно вам. Чтобы доказать, что у вас есть ключ расшифровки, вы можете отправить нам ключ для частичной расшифровки.
Akira
Пароль к rar: [redacted]
Akira
Мы отправим вам ключ расшифровки, но сначала оплата. Если хотите протестировать инструмент, отправьте нам несколько незначительных файлов. Пожалуйста, не усложняйте.
Victim
Мы планируем это сделать. Не могли бы вы сообщить, как безопасно получить эти файлы, выгружая их?
Victim
Исправление к предыдущему сообщению: планируем отправить вам файлы завтра, так как все папки найдены с akira.txt
Akira
Будем ждать. Ускорьтесь.
Victim
Здравствуйте, мы пытались получить доступ к файлам из списка, который вы предоставили, но похоже, машина не загружается и повреждена. Не могли бы вы предложить альтернативный список файлов для расшифровки?
Akira
Вы можете дать нам любые зашифрованные файлы для тестовой расшифровки и запросить любые файлы из списка в качестве доказательства.
Victim
[redacted].jpg.akira // 192 KB
Victim
[redacted].jpg.akira // 231 KB
Victim
[redacted].jpg.akira // 119 KB
Victim
[redacted].bmp.akira // 3.05 MB
Victim
[redacted].bmp.akira // 3.05 MB
Victim
[redacted].bmp.akira // 5.4 MB
Victim
[redacted].bmp.akira // 2.29 MB
Victim
Мы отправляем указанные выше файлы.
Akira
Пожалуйста, подождите.
Akira
decrypted.7z // 1.14 MB
Akira
Пожалуйста, проверьте.
Victim
Файлы показывают правильный результат. Не могли бы вы предоставить нам ключ расшифровки?
Akira
Вам нужны файлы для доказательства?
Victim
Если вы могли бы дать нам. Также сообщите, как расшифровать остальные.
Akira
Дайте мне несколько путей к файлам, которые вы хотите увидеть из списка. После оплаты вы получите инструмент, который расшифрует ваши системы.
Victim
Мы говорим о списке, который вы отправили в файле .rar ранее? Мы полагаем, что у вас есть список всех файлов в вашем распоряжении. Таким образом, предоставление нам информации необходимо, так как мы не можем многое проверить с нашей стороны, поскольку файлы зашифрованы.
Akira
Давайте тогда перейдём к обсуждению оплаты. Скоро сообщу наше требование.
Victim
Вы можете отправить файлы-доказательства для проверки; мы естественно перейдём к обсуждению условий.
Akira
Хорошо, мы отправим несколько случайных файлов.
Akira
files.rar // 647 KB
Victim
Мы думаем, что случайные файлы, которые вы нам отправили, принадлежат нам. Что дальше?
Akira
Мы можем перейти к вариантам оплаты. Скоро сообщу наше требование.
Victim
Отправьте детали, когда они будут готовы.
Akira
Подождите немного.
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая могла бы помочь нам рассчитать наше требование к вам. Мы готовы установить цену в $1 700 000 за ВСЕ услуги, которые мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
Мы получили ваш запрос. Мы довольно удивлены запрошенной цифрой, учитывая анализ наших финансовых данных, так как мы работаем в убыток уже несколько лет. Мы искренне надеемся найти взаимопонимание для движения вперёд.
Akira
В случае быстрой оплаты мы сможем рассмотреть скидку. Однако мы будем работать с семизначными суммами.
Victim
Мы хотели бы сообщить, что у нашей компании нет средств для выполнения вашего требования. Мы работаем в скромных масштабах, и, как и вы, мы должны обеспечивать наших людей, особенно в постковидную эпоху. Таким образом, выполнение вашего запроса для нас невозможно. Мы хотели бы вернуть наши данные, чтобы возобновить наши услуги. Мы просим вашего понимания и рассмотрения возврата наших данных. Мы открыты для обсуждения любых возможных решений.
Akira
Наш запрос вполне возможен для такой компании, как ваша. Мы оба это знаем. Если вам нужны только наши услуги по расшифровке, мы можем завершить этот инцидент за $1 000 000. Ниже мы не опустимся. Это хорошая цена для быстрого и безпроблемного возвращения к бизнесу.
Victim
Мы подтверждаем получение вашего сообщения и понимаем серьёзность ситуации, в которую вы нас поставили. Из вашего сообщения очевидно, что вы считаете, что у нашей организации есть средства для выполнения ваших требований. Однако это предположение не отражает нашу текущую финансовую реальность. Мы обращаемся в сложных обстоятельствах, которые, возможно, не полностью видны снаружи. Несмотря на наши лучшие усилия в течение последних пяти лет, мы столкнулись со значительными финансовыми трудностями, что отразилось в нашей неспособности выплачивать дивиденды и борьбе за получение дополнительного финансирования. Наши финансовые возможности, к сожалению, довольно ограничены. С этой точки зрения, выполнение вашего запроса сравнимо с попыткой выжать кровь из камня, поэтому мы не могли распределять дивиденды нашим акционерам в течение предыдущих 5 лет подряд. Мы усердно стремимся поддерживать наши операции и помогать нашей преданной команде в этих сложных обстоятельствах. С уважением и пониманием мы просим, не могли бы вы пересмотреть вашу текущую позицию. Пожалуйста, восстановите наши данные, чтобы мы могли продолжать предоставлять наши услуги. Мы очень ценим ваше понимание и просим рассмотреть восстановление наших данных. Мы стремимся пройти через эту ситуацию с положительным результатом и искренне надеемся найти путь вперёд, который позволит нам преодолеть этот вызов.
Akira
Что вы можете предложить?
Akira
У вас есть 24 часа, чтобы принять решение по этой сделке. Если вы промолчите, мы объявим о взломе в нашем блоге.
Victim
Мы искренне просим вашего понимания и немного дополнительного времени для разрешения этого. Мы ответим вам срочно, как уже заявляли, мы искренне просим вас посоветовать по восстановлению наших данных для преодоления этого вызова.
Akira
Мы не можем и не будем ждать вечно.
Victim
Извините, что заставили ждать. Мы хотели бы попросить вашего понимания и эмпатии, чтобы направить нас к решению с положительными результатами для нас обоих. Мы стремимся найти способ, который минимизирует ущерб для всех вовлечённых сторон.
Victim
Как уже заявлялось, мы постоянно ведём наш бизнес в убыток в течение многих лет, и мы хотели бы решить вопрос таким образом, который позволит нам продолжить наш бизнес. С этой целью мы хотели бы предложить урегулирование в размере $20 000, что отражает наше искреннее желание решить этот вопрос ответственным и практичным для нас способом.
Victim
Заранее спасибо за рассмотрение нашего запроса о помощи в преодолении этого препятствия. Мы с нетерпением ждём положительного ответа для поддержки и помощи нам.
Akira
Вы можете найти название вашей компании в нашей колонке новостей: [onion-ссылка] Если вы хотите, чтобы этот пост был удалён, мы должны договориться о чём-то.
Akira
Мы никогда не примем такую маленькую сумму. Вы предлагаете нам 20 тысяч против 1 миллиона. Как вы думаете, мы сможем согласиться? Мы подождем ещё немного, а затем отменим сделку. На данный момент не о чем говорить.
Victim
Здравствуйте и добрый вечер
Akira
Здравствуйте. Вам удалось собрать приличную сумму?
Victim
Добрый день, меня специально назначил генеральный директор для замены коллеги, с которым вы разговаривали, и ведения вопроса к разрешению. Мы понимаем, что предложение, сделанное вам, не было уважительным с учётом ваших инвестиций в этот проект. Сказав это, семизначная сумма действительно за пределами наших возможностей. Вам предлагается посмотреть на наши финансовые данные и убедиться в этом самостоятельно.
Victim
В любом случае, мы готовы обсудить ваше предложение и построить доверие в разрешении ситуации
Akira
Мы рады, что вы понимаете, что ситуация серьёзна. Мы готовы работать с вами по цене, чтобы найти взаимовыгодное решение. Дайте нам обновлённое предложение, и я передам его руководству для обсуждения.
Victim
Спасибо за готовность работать над взаимовыгодным решением. Я оперативно сообщу это моему руководителю. Тем временем, мне помогло бы в работе с ним, если бы вы убрали нас из вашего блога. Никому не выгодно, чтобы мы там были.
Akira
Пост будет удалён только после оплаты. Дайте нам обновление от вашего руководителя сегодня, пожалуйста. Спасибо.
Victim
Это длинные выходные праздники в [redacted], и все банки закрыты. Вы можете проверить в Google. Помимо этого, вы усложняете ситуацию. Как вам вредит убрать нас из блога? Мне нужно показать некоторую добрую волю с вашей стороны, чтобы мой руководитель последовал. Поверьте, это значительно упростит дело.
Victim
Мы готовы заключить сделку, хотя это значительное усилие, но чтобы упростить, мне нужна ваша помощь и рассмотрение. Вы всегда можете вернуть нас, если дела пойдут плохо, чего, я не думаю, произойдёт, так как мы хотим заключить сделку.
Victim
Спасибо за ваше рассмотрение
Akira
Мы можем удалить пост только после оплаты. Чем быстрее вы действуете, тем скорее пост будет удалён.
Victim
Возможно, это культурная разница между нашими культурами. Но чтобы заключить сделку, которую, кажется, мы оба хотим, нам нужно некоторое доверие. Не делая этот очень маленький шаг к нам, вы усложняете мою работу. Видите, в глазах моего руководителя вы уже нанесли нам ущерб, разместив нас там. В любом случае, как я уже говорил, полная доступность руководства и открытие банков через 5 дней. Так что у нас есть время для проработки сделки.
Victim
Прошу пересмотреть. Спасибо.
Akira
Между нами нет культурных различий, это просто способ ведения этого бизнеса. Вы предлагали нам копейки и были предупреждены о публикации.
Victim
Я полагаю, мы из разных частей мира и мы люди. Так что культурные различия встроены. Но это философия, а мы здесь, чтобы вести бизнес. Вам действительно предложили очень скромную сумму моим коллегой. Это действительно не соответствовало ситуации. Я не он. Тем не менее я извинился и демонстрирую значительную волю для достижения взаимоприемлемого соглашения. Чтобы упростить мне заключение сделки и вам получение денег, я с уважением попросил вас сделать маленький шаг и проявить добрую волю к нам и мне лично. Честно говоря, я не понимаю вашу позицию. Но опять же, мы не здесь, чтобы философствовать. Я надеюсь, ваша позиция не усложнит достижение сделки. Как я уже говорил раньше, руководитель видит некоторый ущерб как уже нанесённый. Я настоятельно прошу пересмотреть вашу позицию.
Akira
Я всё ещё не вижу никакого приличного предложения с вашей стороны. Мы уберём пост позже.
Victim
Спасибо. Я принимаю это как положительный знак. Как упоминалось ранее, [redacted] находится в праздниках, большинство людей недоступны. Делаю всё возможное, чтобы найти соответствующих заинтересованных лиц и предоставить вам уважительное предложение. Одно, что я могу сказать на данный момент: возможно, вы ошибаетесь насчёт нашей корпоративной идентичности. Может быть, вы думаете, что мы [redacted]. Мы не являемся. Мы часть группы, но, к сожалению для нас, меньшая и менее успешная часть, по крайней мере финансово. Но опять же, я не веду здесь базар и вернусь к вам с предложением, как только получу одобрение руководства. С нетерпением жду завершения сделки.
Akira
На связи.
Victim
Здравствуйте, несмотря на праздники, мы смогли проконсультироваться с руководством и после преодоления некоторых препятствий обеспечить предложение в размере $110 000 (сто десять тысяч долларов США). Кажется уважительным, если учесть, что мы не того размера и финансового статуса, который вы думаете. Надеюсь на ваше понимание и с нетерпением жду завершения сделки. Спасибо.
Akira
Спасибо за ваше предложение. Мы готовы принять $650 000 и покончить с этим.
Victim
Спасибо. Я проконсультируюсь с руководителем и вернусь к вам, как только получу его ответ.
Akira
Мы будем ждать вашего ответа сегодня.
Victim
Спасибо за шаг, который вы сделали к поиску приемлемого решения. К сожалению, я должен сказать, что сумма в $650 000 значительно выше наших возможностей. Чтобы проиллюстрировать мою точку, наши финансовые результаты за последние годы — УБЫТОК. Если вы позволите, я могу загрузить здесь официальные финансовые отчёты, или вы просто можете погуглить их, чтобы убедиться, что я говорю правду.
Victim
Мы действительно хотим достичь сделки, с которой обе стороны могут жить. Но $650 000 — это смертный приговор. В цифрах мой руководитель говорит, что он может добавить ещё $30 000, чтобы сделать общую сумму $140 000. Я надеюсь, вы понимаете истинную ситуацию и тот факт, что чтобы сделать её приемлемой для нас и получить некоторую оплату для вас, цифры должны быть значительно ниже запрошенных вами. С нетерпением жду вашего понимания истинной фактической ситуации.
Akira
Загрузите ваши отчёты, пожалуйста. Тем временем, я смог получить одобрение на дополнительную скидку. Мы готовы закрыть это за $590 000.
Akira
Пост был удалён, но он может вернуться в любую секунду. Мы надеемся прийти к соглашению в течение 2-3 дней и разойтись. Нам нужно достойное встречное предложение с вашей стороны, чтобы сделать финальный шаг к завершению.
Victim
Спасибо за удаление поста. Что касается цифр, извините, но это даже близко не к нашим возможностям. Вам предлагается посмотреть самостоятельно. Пожалуйста, посмотрите на строку 21 сверху — Прибыль (убыток) за год.
Victim
Balance_sheet_2023.jpeg // 200 KB
Akira
Спасибо за отчёт, но похоже на трюк, мы ждали проверенные подписанные документы. В любом случае, даже если это правда, у нас нет реальной картины (ваши сбережения, ваши инвестиции, ваши чистые активы и т.д.). Мы считаем, что просим справедливую сумму и готовы закрыть сделку.
Victim
Вам предлагается зайти онлайн и проверить, трюк ли это. Это определённо не так. Ваше требование даже близко не к тому, что мы можем заплатить. Я полагаю, вы вложили некоторые средства во взлом нас, ваш лучший шанс получить возврат на ваши инвестиции — приблизиться к тому, что мы действительно можем заплатить. Мой руководитель считает, что он сделал справедливое предложение. Мы только просим приемлемое предложение от вас. Текущее — это не то, с чем мы можем жить.
Akira
Я просто не знаю, как вам помочь. Вы можете продать некоторые из ваших активов или что-то ещё, но мои руководители не могут опуститься ниже $350 000.
Victim
Спасибо за ваше предложение. Я вернусь к моему руководителю и постараюсь это проработать. В конечном счёте мы хотим, чтобы эта сделка состоялась.
Akira
Дайте мне знать как можно скорее.
Victim
Здравствуйте и спасибо за ваше терпение. Руководитель ищет креативные способы собрать дополнительные средства. Сложно, так как банков ещё нет из-за праздников. Мы настроены на эту сделку, пока требуемые средства могут быть выделены.
Akira
У нас есть время до пятницы, чтобы покончить с этим. Пожалуйста, ускорьтесь с вашей стороны.
Victim
Здравствуйте и спасибо за значительный шаг, который вы сделали к нам и к взаимоприемлемому решению ситуации. К сожалению, результаты нашего скребания финансов достигают максимума около $180 000. Я знаю, что это значительно ниже вашего последнего предложения, но может быть, если мы пойдём только на часть защиты наших данных и забудем часть расшифровки, ваши руководители примут это. Я боюсь, что если мы не достигнем соглашения, и вы, и мы останемся ни с чем. Соглашение позволит нам выжить, а вам всё ещё получить деньги. Если мы согласимся, перевод может быть сделан по короткому графику. Ожидаю вашего рассмотрения, чтобы наконец покончить с этим. Спасибо.
Akira
Мы ценим ваши усилия завершить это с нами. Наименьшая сумма, которую мы можем принять для этого случая, — $250 000. Не меньше. Мы можем дать вам время до пятницы для оплаты, так как наш диалог достаточно долгий, и нам нужно закрыть дело.
Victim
Понял. Просто чтобы прояснить, $250 000 за полный пакет. Расшифровка + удаление данных. Верно?
Akira
Да.
Victim
Понял. Спасибо. Надеюсь, получим финал сегодня. Тем временем, и извините, если это глупый вопрос, как работает механизм оплаты? Я понимаю, нам нужно получить биткоин. Что происходит дальше?
Akira
Нам нужно ваше решение сегодня. Чтобы получить биткоины, вам нужно зайти на любую биржевую платформу, например binance или coinbase. Вот руководства:
[ссылки]
Вы также можете купить биткоин у любых местных брокеров. Если вы снимаете средства со своего банковского счёта, то вы должны сообщить банку, что эти деньги вам нужны только для инвестиционных целей. Как только мы получим платеж, мы сразу предоставим дешифраторы для каждой из ваших систем.
Victim
Понял. Руководитель одобрил сделку. Нам теперь нужно лучше понять, как это работает. Я понимаю, вы хотите оплату сначала, а затем предоставляете дешифратор. Верно?
Victim
Если так, как я узнаю, что мы действительно получим дешифратор после отправки вам оплаты?
Victim
Есть ли доверенная третья сторона, которой мы могли бы отправить средства? Затем они сообщают вам, что у них есть средства, вы отправляете дешифратор, и после того, как мы подтвердим, что он работает, третья сторона отправляет вам деньги?
Akira
Мы ценим нашу репутацию и соблюдаем все достигнутые соглашения. Вы не найдёте ни одного случая, когда мы нарушили соглашение или не выполнили какие-либо пункты. После оплаты вы получите дешифратор для каждой из ваших систем и инструкцию по его использованию для конкретного файла/системы. Если вы столкнётесь с проблемами в процессе расшифровки, мы будем здесь, чтобы поддержать. Вы получите лог удаления, что означает, что RAID-диски, содержащие единственную копию ваших данных, полностью отформатированы и стёрты. Вы получите отчёт по безопасности, который включает информацию о том, как мы смогли проникнуть в вашу сеть, а также эксклюзивную информацию из первых рук о состоянии вашей сети, уязвимостях, которые мы нашли. Более того, вы получите высококачественные технические рекомендации по устранению любых уязвимостей и укреплению вашей сети для защиты внутренней и внешней инфраструктуры. Вы также получите письменные гарантии, что мы не будем продавать или публиковать ваши данные, сохраним этот разговор в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова.
Victim
Понял. Спасибо. Ещё вопрос, вы принимаете только биткоин или USDT тоже вариант. Друг сказал мне, что он стабильнее биткоина.
Victim
Также имейте в виду, что уже вечер в [redacted], и банки закрыты. Они откроются завтра утром, и, как я понимаю, транзакция такого размера может занять 3-4 рабочих дня.
Akira
Мы принимаем только BTC. Мы ожидаем получить оплату до выходных.
Victim
Будем использовать биткоин, но оплата вряд ли может быть завершена до выходных. Просто нет физического времени достичь этого пункта. Мы компания, есть процедура для перемещения такой крупной суммы денег.
Victim
Также комиссии на покупку биткоина просто шокирующие. Для суммы в $250 000 это может достигать $25 000. Это просто безумие. Пожалуйста, рассмотрите $250 000 включая комиссии за транзакцию. Иначе вся сделка может сорваться. МЫ ДЕЛАЕМ ВСЁ ВОЗМОЖНОЕ, но никто не учитывал эти безумные комиссии. ПОЖАЛУЙСТА…
Akira
Да ладно, ребята. Если не будет оплаты до выходных, нам придётся поднять цену до $275 000 в понедельник. Пожалуйста, ускорьтесь с вашей стороны.
Victim
Сэр, я не шучу. Вы и я много работали, чтобы заключить справедливую сделку. Следование пути, который вы предложили, поднятия цены, только разрушит всё, и мы все проиграем.
Victim
Извините, *справедливую сделку
Victim
Если я могу предложить другой подход, который может помочь нам сократить время, — чтобы вы приняли цену, которую мы согласовали, $250 000, когда она включает предустановленную комиссию, скажем, $25 000, и заключим сделку до понедельника. То есть вы получаете $225 000, но по гораздо более быстрому маршруту. Иначе, если мы делаем это через компанию, нет шансов заплатить до понедельника в лучшем случае. Может быть, даже вторник
Victim
Как уже упоминалось, у нас только что были длинные праздники, и система только возвращается к работе. Требуется время для перемещения средств, если это делается через компанию.
Victim
Я настоятельно прошу вашего рассмотрения, чтобы спасти эту сделку, над которой вы и я так много работали.
Akira
Я сообщу немного позже.
Victim
Спасибо. Мы готовы двигаться дальше. Просто скажите, в каком направлении
Akira
Вы можете отправить $225 000 сегодня? Если да, мы готовы принять.
Victim
Спасибо, это поможет нам спасти сделку. Мы в процессе получения биткоина. Как вы знаете, транзакция также требует времени. Я бы сказал, мы будем в порядке до завтрашнего утра. У нас есть сделка? Если да, пожалуйста, отправьте адрес кошелька, чтобы мы могли отправить вам первые $1000, чтобы убедиться, что всё работает. Спасибо.
Akira
У нас есть сделка. Вот наш кошелек BTC [redacted] Дайте мне знать, когда вы готовы сделать тестовую транзакцию.
Victim
Спасибо. Тестовая транзакция на кошелёк [redacted] будет инициирована в течение следующих 40 минут. Вернусь, чтобы подтвердить отправку оплаты и ожидаю вашего подтверждения.
Akira
0.016 BTC неподтверждено. Вы можете переходить к остальному.
Victim
Хорошо. Это около $1030. Осталось $223 970
Victim
Не возражаете, если мы начнём перемещать оплату частями по мере покупки биткоина? Спасибо.
Akira
Мы не возражаем. В любом случае, вы получите всё, как только получим оплату полностью.
Victim
Понял. Не думал, что опытный бизнесмен, как вы, скажет иначе 😉
Victim
Моя мама говорит, что в русском есть термин ТРЕТИЙ КАЛАЧ для описания опытного человека. Не так ли?
Victim
Перевод сделан. Пожалуйста, подтвердите.
Victim
Подтверждение второй партии? Спасибо
Akira
0.57 получено. Продолжайте, пожалуйста.
Victim
Всего 0.5873577 биткоина, что составляет $37 713 переведено. Осталось $187 287. Будет следовать по договорённости, хотя брокер говорит, что блокчейн очень загружен сегодня, и ожидаются задержки. Не от нас зависит.
Akira
Хорошо. Держите меня в курсе.
Victim
Здравствуйте. Я знаю, что дела идут с опозданием, но это не мы. Мы совершили покупку монет, но брокер говорит, что в блокчейне сумасшедшая пробка, что бы это ни значило. Мы ждём, пока она пройдёт. Мы занимались этим большую часть ночи, но это полностью вне нашего контроля. Делаем всё возможное, чтобы довести сделку до конца. Прошу вашего понимания по этому вопросу.
Victim
Я также понимаю, что у нас есть некоторый USDT, который может составить значительный процент сделки, если вы могли бы принять USDT вместо биткоина. Я знаю, что по какой-то причине вам не нравится USDT, но это кажется способом получить вам больше средств по более короткому графику. Жду вашего слова. Спасибо.
Victim
Хорошо. Похоже, трафик ослабевает. Готов отправить вам дополнительные средства. Пожалуйста, подтвердите, что это получено.
Victim
Средства отправлены на кошелёк [redacted]
Victim
Пожалуйста, проигнорируйте сообщение, что деньги отправлены. Нажал «отправить» по ошибке. Пожалуйста, подтвердите, что адрес кошелька всё ещё действителен.
Victim
Я не хочу вызывать задержки в заключении нашей сделки. Делаю перевод на кошелёк, который вы отправили вчера. Пожалуйста, подтвердите получение средств. Спасибо
Victim
Средства отправлены на кошелёк [redacted]
Victim
Жду, чтобы сделать ещё один перевод биткоина. Пожалуйста, подтвердите предыдущий. Спасибо
Akira
Мы получили всего 2.66385307 BTC. Пожалуйста, продолжайте дальше.
Victim
Это значит, у вас около $172 229, и нам ещё нужно заплатить $52 771, что составляет около 0.828613 или примерно 0.83 btc. И тогда сделка оплачена. Пожалуйста, подтвердите. Спасибо
Victim
Мы готовы сделать последний платеж. Просто подтвердите цифры. Спасибо.
Akira
Баланс составляет 2.66385307 btc или $169 553 на данный момент. Так что вам нужно отправить 55 447. Мы ждём. Спасибо.
Victim
Оплата в пути. Пожалуйста, подтвердите прибытие. Спасибо.
Akira
Получено. Пожалуйста, подождите.
Akira
unlocker.7z // 1.79 MB
Akira
unlocker.exe -p=»path_to_unlock»
unlocker.exe -s=»C:\paths.txt»
где «paths.txt» — это список путей для дешифратора, каждый путь с новой строки
Команды для ESXi
1) chmod +x unlocker
2) ./unlocker -p=»/vmfs/volumes»
Victim
Получил. Это отвечает за дешифратор. Я понимаю, мы также имеем право на доказательство удаления данных и отчёт о взломе. Спасибо
Victim
*Получил
Victim
А как насчёт вещей, которые я упомянул? Спасибо.
Akira
Мы предоставим в течение 24 часов. Спасибо за ваше терпение.
Victim
Хорошо. На связи.
Victim
Здравствуйте. Похоже, есть проблема с работой инструмента, который вы отправили. Наши ИТ-специалисты говорят, что для его запуска им нужно войти на главный сервер ESX. Проблема в том, что они говорят, что вы изменили пароль сервера, поэтому они не могут войти. Какой новый пароль вы установили? Спасибо.
Akira
Я сообщу скоро.
Victim
Спасибо. Наши ИТ-специалисты в конечном счёте смогли войти, но при запуске файла unlocker они говорят, что он не расшифровывает. Файлы остаются с расширением .akira. Не могло ли быть, что по ошибке вы отправили ШИФРАЛЬЩИК, а не ДЕШИФРАЛЬЩИК?
Akira
Подождите немного.
Akira
Здесь была небольшая ошибка. Вот правильный unlocker.
Akira
win_unlocker.ex_ // 759 KB
Akira
Дайте мне знать, если у вас возникнут проблемы.
Victim
Спасибо. Надеюсь, сработает…
Victim
Здравствуйте. Вы обещали доказательство удаления данных в течение 24 часов. Когда мы его получим? Спасибо?
Victim
Также, пожалуйста, проверьте с вашими техническими специалистами, похоже, вы изменили корневой пароль сервера ESXi. Не могли бы вы отправить новый пароль?
Victim
Кстати, unlocker, который вы отправили второй раз, работает.
Akira
Пожалуйста, попробуйте этот пароль: [redacted]
Victim
Спасибо
Victim
И доказательство удаления?
Akira
log.rar // 3.45 MB
Akira
Приносим извинения за задержку. Пароль к архиву: [redacted]
Akira
Первоначальный доступ к вашей сети был куплен в даркнете. Затем был проведён керберостинг, и мы получили хэши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, нам удалось обнаружить некоторые ошибки, которые мы настоятельно рекомендуем устранить:
- Никто из ваших сотрудников не должен открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте надёжные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите 2FA везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте jump host для вашего VPN. Используйте на нём уникальные учётные данные, отличающиеся от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает токен-ключ.
- Как можно чаще инструктируйте сотрудников о мерах онлайн-безопасности. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д.
Мы гарантируем, что не будем продавать или публиковать ваши данные, сохраним этот разговор в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова.
Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за работу с нами и внимательное отношение к вашей безопасности.
Victim
Спасибо, должен сказать, отчёт о взломе выглядит довольно общим, а не специфичным для нас.
Victim
Также корневой пароль, который вы предоставили ранее, не сработал.
Akira
Попробуйте этот [redacted]
Почему дешифратор Akira не работает с частично зашифрованными файлами
Официальный дешифратор Akira не обрабатывает файлы, у которых отсутствует характерная подпись в конце файла — так называемый «футер». Если процесс шифрования прервался из-за сбоя сервера, файл остаётся в гибридном состоянии: часть данных зашифрована, часть — нет, а сигнатура не записана. Дешифратор генерирует фатальную ошибку и прекращает работу [[1]].
В этом диалоге жертва сообщает: «файлы остаются с расширением .akira». Хакеры отправляют исправленный win_unlocker.ex_, но гарантий, что он обработает все типы файлов, нет. Для организации это означает: даже после оплаты восстановление может потребовать ручного вмешательства специалистов.
Проверьте прямо сейчас, есть ли в вашей инфраструктуре механизмы контроля целостности файлов. Если вы можете сверить хэш-суммы критичных данных до инцидента, это поможет выявить частично зашифрованные файлы, которые дешифратор может пропустить.
Как смена пароля от ESXi блокирует восстановление после оплаты
Хакеры изменили корневой пароль сервера ESXi. Жертва не может войти для запуска дешифратора. Это создаёт парадокс: инструмент восстановления есть, но доступ к системе — нет.
Единственный официально поддерживаемый способ сбросить пароль на ESXi — переустановка хоста [[3]]. Альтернативные методы (редактирование shadow-файла через Live CD, применение профилей хоста) требуют глубоких знаний Linux и могут привести к нестабильности кластера.
[√] Задокументируйте все учётные данные гипервизоров в изолированном хранилище паролей
[√] Настройте аутентификацию через Active Directory для хостов ESXi — это позволяет управлять доступом централизованно
[ ] Протестируйте процедуру аварийного восстановления пароля на тестовом хосте до инцидента
[ ] Рассмотрите использование jump host с уникальными учётными данными для доступа к гипервизорам
Почему комиссии за покупку биткоина могут добавить 10% к сумме выкупа
Жертва указывает: «Комиссии на покупку биткоина просто шокирующие. Для суммы в $250 000 это может достигать $25 000». Это не преувеличение. Крупные покупки криптовалюты через биржи или брокеров часто включают спред, комиссию за обработку и плату за вывод [[2]].
Хакеры отказываются учитывать комиссии: «Мы принимаем только BTC». Это перекладывает операционные издержки на жертву и создаёт дополнительный барьер для завершения сделки.
Проверьте, есть ли у вашей организации заранее согласованный канал для приобретения криптовалюты в экстренных случаях. Если покупка биткоина требует многоуровневого согласования, вы рискуете не уложиться в дедлайн вымогателей.
Как культурные различия влияют на переговоры с вымогателями
Жертва упоминает «культурную разницу» и русский термин «третий калач». Хакеры отвечают: «Между нами нет культурных различий, это просто способ ведения этого бизнеса».
Исследования показывают: в переговорах с вымогателями культурные факторы могут влиять на восприятие срочности, доверия и готовности к компромиссу [[4]]. Однако группы уровня Akira стандартизируют коммуникацию, чтобы минимизировать влияние человеческого фактора.
Для защиты важно иметь заранее подготовленные скрипты ответов, которые не зависят от личности переговорщика. Это снижает риск эмоциональных решений и сохраняет последовательность позиции.
Почему хакеры отказываются от эскроу и третьих сторон
Жертва предлагает: «Есть ли доверенная третья сторона, которой мы могли бы отправить средства?» Хакеры отвергают: «Мы ценим нашу репутацию и соблюдаем все достигнутые соглашения».
Эскроу-сервисы для криптовалют существуют, но вымогатели их избегают: это вводит дополнительную точку отказа и потенциального отслеживания. Для жертвы это означает: единственный «гарант» сделки — репутация преступной группы.
[√] Запросите у хакеров хэш-суммы изъятых файлов для последующей сверки
[√] Сохраняйте все этапы переписки и транзакций для возможного расследования
[ ] Рассмотрите привлечение специализированной фирмы по переговорам с вымогателями — у них есть каналы верификации
[ ] Не публикуйте детали сделки до полного завершения — это может спровоцировать повторные требования
Как блокчейн-задержки создают операционные риски при оплате выкупа
Жертва сообщает: «Брокер говорит, что в блокчейне сумасшедшая пробка». Конгестия сети биткоина — реальное явление: при высоком спросе время подтверждения транзакций растёт, а комиссии увеличиваются.
Для вымогателей задержка — повод пригрозить повышением цены. Для жертвы — риск, что оплата не успеет пройти до дедлайна, и сделка сорвётся.
Проверьте, есть ли у вашей команды процедура мониторинга статуса блокчейн-транзакций в реальном времени. Если вы полагаетесь на уведомления от брокера без независимой верификации, вы можете пропустить критичные изменения в статусе платежа.