Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
Рекомендуем книги по теме
Кибербезопасность: правила игры: Как руководители и сотрудники влияют на культуру безопасности в компании
Эллисон Сэрра
Старший брат следит за тобой: Как защитить себя в цифровом мире
Михаил Райтман
1. #Что случилось с вашими файлами?
Все ваши файлы зашифрованы с помощью алгоритма RSA-2048 — см. «RSA-шифрование» в поиске Google.
#Как восстановить файлы?
RSA — это асимметричный криптографический алгоритм. Вам нужен один ключ для зашифровки и другой ключ для расшифровки.
Это значит, что для восстановления файлов вам нужен закрытый ключ.
Без закрытого ключа восстановить файлы невозможно.
#Как получить закрытый ключ?
Чтобы получить закрытый ключ, выполните три простых шага.
Шаг 1: отправьте нам 1,7 биткойна за каждый пораженный компьютер или 28 биткойнов за все пораженные компьютеры.
Шаг 2: после того как вы отправите нам 1,7 биткойна, оставьте на нашем сайте комментарий с вашим именем хоста.
* Ваш хост …
Шаг 3: в ответ мы вышлем вам программу дешифрования. Вам нужно будет запустить ее на пораженном компьютере, и все зашифрованные файлы будут восстановлены.
Наш сайт: …
Наш биткойн-кошелек: …
(Если вы отправите нам 28 биткойнов за все пораженные компьютеры, оставьте на сайте комментарий «За все пораженные компьютеры».)
(Также вы можете отправить нам 14 биткойнов, получить 14 ключей (случайным образом), а после проверки доплатить, чтобы получить оставшиеся ключи.)
Как попасть на наш сайт?
Чтобы зайти на наш сайт, вы должны установить браузер TOR и ввести в нем адрес нашего сайта.
Загрузить браузер TOR можно по ссылке …
См. также в Google «Как открывать onion-сайты».
#Тестовое дешифрование
Вы можете скачать с нашего сайта два зашифрованных файла, и мы расшифруем их для вас.
#Где купить биткойн
Мы советуем покупать биткойны за наличные или через Western Union у …, потому что они не требуют проверки и высылают биткойны быстро.
#Крайний срок
Если в течение семи дней вы не отправите нам биткойны, мы удалим ваши закрытые ключи и файлы будет невозможно восстановить.
2. Ваша сеть взломана.
Все файлы на каждом хосте сети зашифрованы с помощью надежного алгоритма.
Резервные копии либо зашифрованы или удалены, либо отформатированы диски резервных копий.
У нас есть уникальное программное обеспечение для расшифровки ваших файлов.
Не перезагружайте и не выключайте компьютер — это может повредить файлы.
Не переименовывайте зашифрованные файлы или файлы readme.
Не перемещайте зашифрованные файлы или файлы readme.
Не удаляйте файлы readme.
Это может привести к тому, что определенные файлы будет невозможно восстановить.
Чтобы получить информацию об оплате расшифровки ваших файлов, свяжитесь с нами по адресу: …
Кошелек BTC: …
Чтобы убедиться в наших честных намерениях:
отправьте два разных случайных файла и получите их расшифровку.
Чтобы убедиться в том, что мы все расшифруем, вы можете отправить файлы с разных компьютеров вашей сети.
Оба файла должны иметь расширение. LOCK. Мы разблокируем два файла бесплатно.
3. ИНСТРУКЦИЯ
1. Скачайте браузер TOR.
2. Откройте ссылку через браузер TOR …
3. Заполните форму, ваш пароль: …
Мы свяжемся с вами в скором времени.
Всегда отправляйте файлы для тестовой расшифровки.
4. Ниже вы можете найти личные данные компаний, которые были взломаны DoppelPaymer. Эти компании решили сохранить утечку в тайне. И теперь их время платить истекло.
Чарли Кларк Ниссан Браунсвилл
URL-адрес:
Читать далее
Просмотров: 25293 / Опубликовано: 2021–05–06 15:21:06 / Обновлено: 2021–06–25 22:01:50
Графство Юба
URL-адрес:
Читать далее
Просмотров: 11879 / Опубликовано: 2021–02–11 06:50:41 / Обновлено: 2021–06–24 18:40:38
5. Привет! Посмотри, пожалуйста. С уважением.
6. Здравствуйте, #0472392865357
Это письмо касается вашей подписки. Срок пробной премиум-версии почти истек. Для продления премиум-подписки будет использована указанная вами в личном кабинете кредитная карта.
В нашей огромной онлайн-коллекции представлены практически все книги на любые темы. Загляните на наш сайт, чтобы ознакомиться с семейными подписками, благодаря которым ваши близкие смогут насладиться первоклассным контентом с большой групповой скидкой. Благодарим вас за доверие к нашему сервису!
У вас остались вопросы о подписке? Свяжитесь с нашей службой поддержки по телефону +1 737 710 1686.
С наилучшими пожеланиями, команда Paradise Books. Не отвечайте на это письмо.
7. Информация об атаке на Kaseya
В пятницу (02.07.2021) мы атаковали провайдеров MSP. Заражено более миллиона систем. Наша цена полного декодирования — $70 млн в биткойнах, на этих условиях мы выложим в открытый доступ декриптор для расшифровки всех пострадавших файлов, то есть все жертвы смогут ликвидировать последствия атаки в течение часа. Если вам интересно наше предложение, свяжитесь с нами, используя инструкции в файлах readme пострадавших устройств.
8. Если вы клиент, отказавшийся от сделки, и не нашли свои данные или ценные файлы на сайте картеля, это не значит, что мы о вас забыли, — просто ваши данные уже проданы и поэтому не опубликованы в открытом доступе.
9. https://www.altx-soft.ru/upload/iblock/124/NIST%20800–61%20Руководство%20по%20обработке%20инцидентов%20ИБ. pdf
10. Отсылка к книге и сайту Кэри Паркера «Брандмауэры не останавливают драконов» (Firewalls Don't Stop Dragons). — Прим. науч. ред.
11. Правила
Мы не атакуем:
больницы;
ключевые инфраструктурные объекты (АЭС, ЭС, водоочистительные сооружения);
нефтегазовый сектор (трубопроводы, НПЗ);
оборонные предприятия;
некоммерческие организации;
государственный сектор.
Если ваша компания относится к этому списку, вы можете попросить бесплатную дешифровку.
12. Привет!
Во вложенном документе интересная информация.
Спасибо.
13. Этот документ создан в предыдущей версии Microsoft Office Word. Чтобы просмотреть или отредактировать этот документ, нажмите на кнопку «Разрешить редактирование» на верхней панели, затем нажмите «Разрешить содержимое».
14. Вниманию специалистов по IR: RagnarLocker использует handybackup.net для кражи. Сохранение в системе: Cobalt/ScreenConnect, горизонтальное перемещение: Cobalt/RDP, разведка: Advanced IP Scanner, сбор данных: WinRar. Крадут большие объемы данных (терабайты). Сообщения о выкупе со ссылками на скриншоты.
Только что заметили, что они используют #PaExec («a», не «s») для удаленной установки служб Cobalt.
Похоже, что для первоначального доступа используется ProxyLogon.
15. DoppelPaymer используют MediaFire.com для кражи через веб-браузер. Прочие TTP: Cobalt Strike, Rubeus, RealVNC, Putty, RDP, PowerShell BitsAdmin и Hyper Visors для получения доступа, развертывание виртуальных машин для запуска программы-вымогателя.
16. Убийственная цепочка программы-вымогателя Clop в одном твите: фишинговое письмо — > макрос Office — > net user /domain — > FlawedAmmyy RAT — > Cobalt Strike — > SBM — > BEACON — >