Семейный бизнес без киберстрахования сталкивается с требованием в $400 000. Жертва прерывает процесс шифрования, что потенциально повреждает небольшие файлы. Хакеры снижают цену до $300 000 после технических гарантий. Сделка закрывается, но дешифратор работает «в основном» — часть систем остаётся проблемной.
Victim
Привет, мы получили ваш файл readme. Это шок для нас, что нам делать дальше? Можете ли вы нам помочь?
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ответ, предоставим все детали.
Victim
да, я уполномочен вести с вами переговоры
Akira
list.txt // 640 KB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, и мы вернём расшифрованные копии.
Мы изучаем ваши финансовые документы, чтобы сформулировать разумное требование к вам. Мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая могла бы помочь нам рассчитать наше требование к вам. Мы готовы установить цену в $400 000 за ВСЕ услуги, которые мы предлагаем.
Victim
Привет, пожалуйста, покажите доказательство владения для следующих файлов: [redacted].pdf, [redacted].docx, [redacted].docx, [redacted].xlsx
Akira
Пожалуйста, подождите.
Akira
files.rar // 207 KB
Akira
Пожалуйста, проверьте файлы. Если нужно протестировать наш инструмент расшифровки, предоставьте 2-3 зашифрованных файла как можно скорее.
Victim
[redacted].eps.akira // 5.46 MB
Victim
[redacted].pdf.akira // 2.08 MB
Victim
Мы проверили файлы. Спасибо за предоставление. Вот несколько файлов для доказательства расшифровки. Спасибо
Victim
[redacted].pdf.akira // 421 KB
Victim
[redacted].png.akira // 4.02 MB
Akira
Пожалуйста, подождите.
Akira
decrypted.7z // 7.67 MB
Akira
Что касается третьего файла, у нас есть вопрос. Вы остановили процесс шифрования?
Victim
Да, мы остановили. Честно говоря, мы запаниковали, когда увидели, как это началось, и просто всё выключили. Это будет проблемой?
Akira
Некоторые файлы менее 2 МБ могут быть повреждены.
Victim
Мы внимательно изучили услуги, которые вы предлагаете, но у нас есть опасения по поводу ограничений, связанных с расшифровкой некоторых наших файлов. У нас есть очень сложная база данных на одном из наших серверов, когда мы отключили его во время процесса шифрования. Теперь некоторые подфайлы этой базы данных имеют размер, который, как вы сказали, может быть проблемой. Какие гарантии вы можете дать нам, что после оплаты за расшифровку эти файлы будут полностью доступны и смогут использоваться без ограничений?
Akira
Не должно быть никаких проблем с расшифровкой ваших файлов размером 2 МБ и менее. А также с остальными.
Akira
Мы заключим здесь сделку?
Victim
Мы открыты для завершения сделки. Однако, как уже обсуждалось, есть существенные опасения: относительно процесса расшифровки и размера наших текущих файлов. Вы упомянули, что изучили наши файлы, и явно заметили, что мы — небольшой семейный бизнес, у которого нет покрытия киберответственности. У нас есть некоторые опасения по поводу вероятного успеха расшифровки, основанные на ваших последних попытках расшифровать только три из четырёх предоставленных файлов. Учитывая проблемы с расшифровкой, мы предлагаем урегулирование в размере $105 000, так как мы берём на себя значительный риск, полагаясь на инструмент расшифровки, который оказался ненадёжным.
Akira
Я скоро вернусь.
Akira
Здравствуйте. Учитывая обстоятельства и ваши «опасения», мы готовы сделать шаг вперёд и закрыть сделку за $350 000, не больше.
Victim
Мы ценим ваш ответ, но наши «опасения» сохраняются. После оплаты у нас не остаётся никаких средств правовой защиты, если ваша служба не сможет расшифровать зашифрованное. В стремлении продвинуть этот разговор вперёд и смягчить наши колебания относительно оплаты, нам требуется дополнительная ясность. В частности, нам нужны заверения о вашей способности расшифровать критически важный элемент нашей инфраструктуры — файл базы данных SQL Server 2005 объёмом 540 ГБ с именем [redacted].MDF, ранее размещённый на сервере 2008R2 SP1. Этот файл имеет решающее значение для наших переговоров. Получение заверений от вашей команды, что мы можем ожидать расшифровки этой БД, поможет нам продвинуться в принятии решения. Может ли ваша команда предоставить конкретные заверения относительно способности ваших инструментов обрабатывать файл базы данных такого масштаба? Кроме того, после оплаты, какой уровень «техподдержки» мы можем ожидать для обеспечения функциональности вашего продукта? Ждём вашего подробного ответа.
Akira
Я довольно уверен, что вы расшифруете всё, что мы зашифровали, с помощью нашего инструмента, но я также спрошу у моих технических специалистов о заверениях.
Victim
Спасибо
Akira
Что ж, я получил заверение от моего технического отдела, что все ваши зашифрованные файлы, включая огромный SQL Server и БД, будут успешно расшифрованы. Если вы столкнётесь с какими-либо проблемами в процессе расшифровки, мы будем здесь, чтобы поддержать 24/7. После оплаты вы получите дешифраторы и команды, как их запустить. Мы уже расшифровывали случаи, когда процесс шифрования был прерван. Мы тщательно проверили зашифрованные файлы, которые вы предоставили нам для теста, и уверены, что не будет никаких проблем.
Akira
Мы не заинтересованы в обмане вас, поскольку это повлияет на нашу репутацию, которую мы чтим.
Victim
Мы обсуждали ваши услуги, и после ваших заверений мы чувствуем себя гораздо лучше, двигаясь вперёд к соглашению. Мы можем собрать и получить доступ к $208 000 в течение следующих 24 часов и заплатить. Пожалуйста, работайте с нами здесь. У нас нет полиса киберстрахования, чтобы получить средства, и это наличные деньги, к которым мы должны получить доступ. Мы ценим, что ваша команда поддержит вашу службу, так как вы цените свою репутацию.
Akira
В свою очередь, мы ценим вашу готовность покончить с этим с нами, но $208 000 не разрешат инцидент. Моя команда готова принять $300 000 за сделку на этой неделе. Это наше окончательное предложение. Давайте покончим с этим. Вот наш кошелёк BTC [redacted]
Akira
Ждём вашего ответа, ребята.
Victim
Спасибо за работу с нами над этим инцидентом. Пожалуйста, возьмите $271 818.13 в BTC на ваш кошелёк, и давайте оставим это дело позади. Мы все можем уйти в выходные, чувствуя, что работали над этой проблемой вместе, и наслаждаться жизнью. Как только вы согласитесь, мы начнём работать над настройкой BTC и отправим его вам.
Akira
Я скоро сообщу.
Akira
Ребята, мы оба знаем, что вы можете закрыть это за $300 000. Мы значительно снизили наше требование, так что давайте закончим это за $300 000 и покончим с этим. Я подожду сообщения от вас как можно скорее.
Akira
Здравствуйте. Мы ждём сообщения от вас.
Victim
Я сижу здесь, жду окончательного одобрения от моего начальника. пожалуйста, дайте мне пару минут
Akira
Жду.
Victim
Мы продолжим с оплатой в $300 000. Нам нужно быть уверенными, что ваша команда предоставит ключ расшифровки как можно скорее и будет доступна для помощи с расшифровкой в течение этих выходных и до тех пор, пока наши файлы остаются зашифрованными. Вы предоставите отчёт о том, что вы нашли уязвимым в нашей среде, пообещаете никогда больше не атаковать нас, предоставите доказательство удаления наших файлов, а также ваше заверение, что наши данные, включая данные наших клиентов, не будут проданы, переданы или опубликованы, и, наконец, никогда не упомянете вашу атаку против нас ни одному другому лицу или организации. Если мы согласны, мы приобретём биткоин и предоставим первоначальный платеж небольшой суммы, чтобы подтвердить, что вы получили, а затем сделаем полную оплату.
Akira
Отлично. Мы подтверждаем условия. Дешифраторы готовы. Кошелёк выше. Дайте мне знать, когда вы сделаете тестовую транзакцию.
Victim
Привет, друзья. Первый платеж в пути. Хэш: [redacted]
Victim
Вы можете подтвердить получение?
Akira
0.0000387 получено.
Victim
Полный платеж в пути, вот этот Hash ID: [redacted]
Akira
Проверяю. Пожалуйста, подождите.
Akira
Получено.
Akira
unlocker.7z // 1.77 MB
Akira
unlocker.exe -p=»path_to_unlock»
unlocker.exe -s=»C:\paths.txt»
где «paths.txt» — это список путей для дешифратора, каждый путь с новой строки
Команды ESXi
1) chmod +x unlocker
2) ./unlocker -p=»/vmfs/volumes»
Victim
Блестяще. Это сработало в основном, и наша команда будет устранять неполадки в оставшихся системах. Что насчёт отчёта об уязвимостях и доказательства удаления?
Akira
Deletion.7z // 128 KB
Akira
Первоначальный доступ к вашей сети был куплен в даркнете. Затем был проведён керберостинг, и мы получили хэши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, нам удалось обнаружить некоторые ошибки, которые мы настоятельно рекомендуем устранить:
- Никто из ваших сотрудников не должен открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте надёжные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите 2FA везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте jump host для вашего VPN. Используйте на нём уникальные учётные данные, отличающиеся от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает токен-ключ.
- Как можно чаще инструктируйте сотрудников о мерах онлайн-безопасности. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д.
Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за работу с нами и внимательное отношение к вашей безопасности.
Почему прерванное шифрование повреждает файлы менее 2 МБ
Akira использует потоковое шифрование с параметром --encryption_percent, который позволяет шифровать только часть файла. Если процесс прерывается вручную (жертва отключает сервер), небольшие файлы могут остаться в гибридном состоянии: заголовок зашифрован, тело — нет, или наоборот. Дешифратор ожидает определённую структуру, и при её нарушении генерирует ошибку.
Для файлов менее 2 МБ риск выше, потому что они часто шифруются целиком за один проход. Прерывание в середине операции оставляет файл без финальной сигнатуры, которую дешифратор использует для верификации.
[√] Запросите у хакеров хэш-суммы оригиналов для сверки целостности после расшифровки
[√] Протестируйте дешифратор на копии повреждённого файла в изолированной среде перед запуском на продакшене
[ ] Проверьте, не изменилась ли структура конфигурационных файлов после расшифровки — даже при успешном запуске приложения настройки могут быть повреждены
Как работает расшифровка 540 ГБ SQL Server .MDF файла
Файл .MDF — основной файл данных SQL Server, содержащий таблицы, индексы, метаданные базы. Объём 540 ГБ создаёт технические сложности: дешифратор должен обрабатывать файл поблочно, сохраняя целостность структуры.
Akira_v2 поддерживает многопоточную обработку больших файлов, но параметр --stopvm (остановка ВМ перед шифрованием) может привести к тому, что транзакции базы данных останутся в несогласованном состоянии. Даже после расшифровки база может потребовать восстановления через DBCC CHECKDB или RESTORE WITH RECOVERY.
Проверьте прямо сейчас, есть ли у вашей команды процедура валидации целостности БД после восстановления. Если вы полагаетесь только на запуск дешифратора без последующей проверки, вы рискуете получить работоспособную на вид, но повреждённую базу.
Почему устаревшая инфраструктура увеличивает риски атаки
Жертва упоминает сервер 2008R2 SP1 и SQL Server 2005. Обе платформы достигли конца поддержки: критические уязвимости не патчатся, механизмы защиты устарели.
Kerberoasting, который использовали хакеры, особенно эффективен в средах со старыми версиями Active Directory: сервисные учётные записи часто имеют слабые пароли и избыточные привилегии. Подбор хэшей через Hashcat или John the Ripper занимает часы, а не дни.
[√] Проведите аудит сервисных учётных записей на предмет избыточных привилегий и слабых паролей
[√] Включите мониторинг аномальных запросов билетов Kerberos (TGS-REQ) через SIEM-правила
[ ] Рассмотрите миграцию критических систем на поддерживаемые версии ОС и СУБД — даже если это требует инвестиций
Как гарантии «24/7 поддержки» работают на практике
Хакеры обещают: «Если вы столкнётесь с проблемами в процессе расшифровки, мы будем здесь, чтобы поддержать 24/7». После оплаты жертва сообщает: «Это сработало в основном, и наша команда будет устранять неполадки в оставшихся системах».
Реальность: техподдержка вымогателей ограничена отправкой инструкций и, в лучшем случае, исправленной версии дешифратора. Глубокая отладка, восстановление повреждённых структур данных, интеграция с инфраструктурой жертвы — за пределами их компетенции.
Для организации это означает: даже при успешной оплате восстановление может потребовать привлечения внутренних специалистов или сторонних консультантов. Бюджет на инцидент должен включать не только выкуп, но и ресурсы на пост-восстановительные работы.
Почему семейный бизнес без киберстрахования уязвим к финансовому давлению
Жертва прямо указывает: «У нас нет полиса киберстрахования, чтобы получить средства, и это наличные деньги». Отсутствие страхового покрытия лишает организацию буфера для экстренных расходов.
Хакеры используют эту информацию: начальное требование $400 000 снижается до $300 000, но остаётся неподъёмным для малого бизнеса. Жертва вынуждена собирать средства «из кармана», что создаёт операционные и юридические сложности.
Проверьте, покрывает ли ваша организация киберриски через страховку или резервный фонд. Если нет, инцидент с вымогателями может потребовать экстренного займа или продажи активов — с задержками и дополнительными издержками.
Как работает проверка целостности после расшифровки
Жертва получает unlocker.7z с инструкциями для Windows и ESXi. После запуска: «Это сработало в основном». Оставшиеся системы требуют устранения неполадок.
Для валидации восстановления критичных данных:
[√] Сверьте хэш-суммы ключевых файлов с резервными копиями до инцидента
[√] Запустите приложения на расшифрованных данных и проверьте функциональность — не только открытие файлов, но и бизнес-логику
[ ] Проведите выборочную сверку записей в базе данных с логами транзакций или внешними системами
[ ] Задокументируйте все расхождения для возможного расследования или страхового случая
Почему шаблонный отчёт об уязвимостях не закрывает реальные бреши
Хакеры предоставляют список из 9 общих рекомендаций. Ни одной конкретной детали о векторе атаки, скомпрометированных учётных записях или использованных эксплойтах.
Для реального укрепления защиты требуется:
[√] Аудит логов Kerberos на предмет аномальных запросов сервисных билетов
[√] Проверка настроек SPN на предмет избыточных привилегий
[√] Внедрение мониторинга аномальной активности в домене через правила, специфичные для техник MITRE ATT&CK
[ ] Проведение упражнения по поиску угроз с фокусом на техники, использованные в данном инциденте