"Кибер Остапы" кошмарят воткинский бизнес
"Кибер Остапы" кошмарят воткинский бизнес
Предыдущая рабочая неделя, для нашего сообщества прошла под эгидой наблюдения и активного сопереживания на фоне проблемы, возникшей на рабочем месте у одной из активных пользователей «Паутины»…

Что собственно произошло? Вечером в понедельник 21 июля, сервер предприятия Х был атакован неким вирусом-трояном и уже на утро вторника все базы 1С бухгалтерии были зашифрованы «кибер-вредителями» и соответственно оказались не работоспособными… Работа «встала»…

Если кому интересны технические детали, то визуально, помимо отказа самой 1С, проблема определялась добавлением к расширению всех поражённых файлов следующей строки: 
.c******@gmail_com_idХХХ
(где ХХХ – трёхзначное число, уникальный идентификатор жертвы (ну почти уникальный – на практике этот номер присваивается целой группе зараженных компов))…

После заражения, на рабочем столе инфицированной машины, хакерами были заменены обои, на которых появилось объяснение в стиле:

"Дорогие друзья, вашим драгоценным файлам, в принципе «хана». Но при вашем деятельном участии, можно кончено и без таких жертв обойтись… Приглашаем к продуктивному для обоих сторон диалогу, начало которому будет положено при обращении по адресу c******@gmail_com»"
(к сожалению скрин сообщения не сохранился, просто передаю суть)…

Что произошло далее? Началась кипучая работа на двух фронтах… На техническом «поле боя» в срочном порядке были заменены все пароли для доступа на сервер (это правильно и обязательно), и не строя надежд на гипотетическую расшифровку, началась замена поврежденных файлов, пусть и чуть устаревшими, но зато рабочими копиями из архива… Эти действия помогли восстановить работу предприятия…

Но, думаю, большинству читателей более интересна другая сторона «войны»… А именно диалог с виртуальными «захватчиками», которых обозавём «Кибер Остапами» (в дальнейшем КО), в который незамедлительно и с озорным энтузиазмом вкупе с иронией, вступила, ничуть не загрустившая от произошедшего, коллега (назовём её просто — Т)…
Так что же им нужно, этим КО, и как себя с ними вести? С любезного позволения Т, публикую её полную, практически без купюр, недельную переписку с вымогателями (лексика и грамматика сохранены полностью), которые на удивление оказались невероятно общительными и готовыми к компромиссам, ребятами…

К слову сказать, эпопея эта ещё не закончена, с нетерпением ждём результатов наступившей недели… А пока, пусть каждый сам сделает надлежащие выводы…

Вторник 22 июля

Т:
Здравствуйте, C*****.
я по поводу расшифровки файлов 1с

КО:
Дорогие наши друзья,
я очень рада что вы обратились именно к нам…
госпошлина за расшифровку составляет всего каких-то 40000 руб.,
и принимается на киви кошелек, созданный только под ваш платёж.
Оплату вы всегда можете произвести в любом терминале где пополняют мобильные телефоны.
как пополнить киви кошелёк можете посмотреть тут:
yandex.ru/video/search?text=как%20пополнить%20киви%20кошелек&safety=1
Далее вы присылаете ваш ip адрес смотрите его тут:
www.myip.ru/ru-RU/index.php
или тут
2ip.ru/
и ваш “id” он в конце каждого зашифрованного файла.
получаете анлокер (расшифровщик) для вашего бронированного танка ;-) “компьютера, сервера или что там у вас ……”
распаковываете -> запускаете анлокер -> и забываете про эти досадные неприятности.
В сымые кратчайшие сроки (в зависимости от количества зашифрованных файлов) анлокер самостоятельно отработает (расшифрует)
все ваши драгоценные файлы и базы, так как каждый файл переписывает сам себя несколько раз подряд случайным алгоритмом затирая исходник.
Если анлокер будет передан третьим лицам (выложите на форумах, антивирусных сайтах или где то ещё),
все ваши файлы вместе с сервером будут уничтожены ;-)
Даже если вы их перенесёте в безопасное, как вам кажется место.
Поверьте останетесь без файлов и без денег.
Софт полностью заметёт за собой следы и само удалится из вашей системы через пятнадцать дней.
Мы бесплатно расшифруем несколько ваших файлов, что бы вы убедились что дешифратор у нас есть, возможно, будет и у вас.
Произведём по требованию небольшую бесплатную консультацию по защите информации, и в 99 % случаев такого больше не повторится.
Наша почта живёт 2-5 дней потом её заблокируют, скорее всего (из-за огромного наплыва жалоб) и вы остановитесь без ваших файлов.
Надумаете пишите, несколько реквизитов для оплаты ещё есть следущие появятся завтра — послезавтра.
Удачи вам в бизнесе и всего самого доброго.
Реквизиты для оплаты выдавать?

Т:
это очень дорого для меня, половина оборота

КО:
Выслушаю ваши актуальные предложения....

Т:
5000

КО:
5000 ну не серьёзно
.
Спустя некоторое время

КО:
20000 более интересней

Т:
2000?

КО:
ага с 0

Через минуту

КО:
20.000 руб.

Т:
вы что, ребятки, я не потяну столько
это полторы моей зарплаты, мы же не столичные
7.500 ?

КО:
да мы тоже не столичные.

Спустя пять минут…

КО:
15000 моё последнее предложение.
реквизиты на оплату выдавать или нет?

КО:
а с вас всего 15000 прошу. жду вашего ответа.

КО:
25000 хорошая скидка, так по 40000 собираю.

T:
10000 мое последнее слово и высылайте реквизиты

KO:
киви кошелёк 9********2
оплатите в течении часа.
как пополнить киви кошелёк можете посмотреть тут:
yandex.ru/video/search?text=как%20пополнить%20киви%20кошелек&safety=1
для общей информации:
Дорогие наши друзья,
я очень рада что вы обратились именно к нам…
госпошлина за расшифровку составляет всего каких-то 40000 руб.,
и принимается на киви кошелек, созданный только под ваш платёж.
Оплату вы всегда можете произвести в любом терминале где пополняют мобильные телефоны.
как пополнить киви кошелёк можете посмотреть тут:
yandex.ru/video/search?text=как%20пополнить%20киви%20кошелек&safety=1
Далее вы присылаете ваш ip адрес смотрите его тут:
www.myip.ru/ru-RU/index.php
или тут
2ip.ru/
и ваш “id” он в конце каждого зашифрованного файла.
получаете анлокер (расшифровщик) для вашего бронированного танка ;-) “компьютера, сервера или что там у вас ……”
распаковываете -> запускаете анлокер -> и забываете про эти досадные неприятности.
В сымые кратчайшие сроки (в зависимости от количества зашифрованных файлов) анлокер самостоятельно отработает (расшифрует)
все ваши драгоценные файлы и базы, так как каждый файл переписывает сам себя несколько раз подряд случайным алгоритмом затирая исходник.
Если анлокер будет передан третьим лицам (выложите на форумах, антивирусных сайтах или где то ещё),
все ваши файлы вместе с сервером будут уничтожены ;-)
Даже если вы их перенесёте в безопасное, как вам кажется место.
Поверьте останетесь без файлов и без денег.
Софт полностью заметёт за собой следы и само удалится из вашей системы через пятнадцать дней.
Мы бесплатно расшифруем несколько ваших файлов, что бы вы убедились что дешифратор у нас есть, возможно, будет и у вас.
Произведём по требованию небольшую бесплатную консультацию по защите информации, и в 99 % случаев такого больше не повторится.
Наша почта живёт 2-5 дней потом её заблокируют, скорее всего (из-за огромного наплыва жалоб) и вы остановитесь без ваших файлов.
Надумаете пишите, несколько реквизитов для оплаты ещё есть следущие появятся завтра — послезавтра.
Удачи вам в бизнесе и всего самого доброго.
Реквизиты для оплаты выдавать?

(Реплика Занозы – т.е. кибер-хулиганы высылают реквизиты, с наивным нетерпением ожидая червонца, и в том же письме вымогают 40 тыщ. спрашивая, нужны ли реквизиты… Поразительная логика)…

КО:
Произведём по требованию небольшую бесплатную консультацию по защите информации, и в 99 % случаев такого больше не повторится.

T:
а если оплачу а вы снова меня взломаете? как мне жить дальше то?
хоть бизнес весь не закрывай(((((((

KO:
об этом я уже писал выше

(Реплика Занозы – ух ты, сначала КО писал от имени дамы, теперь по-видимому, пришлось поменять пол)

T:
консультация в каком виде будет? как я ее пойму?

KO:
если вы не дура набитая опилками то поймёте. там нет не чего сложного.
я укажу на ваши ошибки, или ошибки человека который допустил их специально***.
вы закроете доступ + произведёте несколько настроек.
сори что возможно немного грубовато зато всем понятно.

(***Реплика Занозы – а вот это ооочень интересно...)

Среда 23 июля

KO:
оплаты от вас не поступило.
моё предложение в 10000 уже не актуально.
Если поступит перевод он будет возвращён.

(Реплика Занозы – да ну? Какое благородство, куда возвращен-то? Почтовым переводом)

Четверг 24 июля

КО:
Друзья,
Вам были выданы реквизиты для оплаты расшифровщика,
Однако не оплата, не отказ от произведения оплаты от вас не поступал.
Сообщите, пожалуйста, вы собираетесь, производить оплату или нет.
Выданные вам реквизиты могут понадобится другим лицам.
Очень надеюсь получить от вас ответ по данному вопросу.

(Реплика Занозы — Выданные вам реквизиты могут понадобится другим лицам… Очередь стоит из страждущих заплатить, на всех реквизитов не хватает… Вот это высокорентабельный бизнес – браво...)

T:
Здравствуйте, Расшифровка
изъяла все деньги из бизнеса, отправила, но ошиблась цифрой
написала заявление, жду возврата
пока торговля стоит, магазин не работает из-за сбоя программы,
денег на закупку товара нет
все плохо, други мои

(Примечание – естественно никакой отправки денег не было… Захватил сам процесс переписки, интересно знать что дальше будет...)

КО:
вы позвоните в поддержку если ошибка не более 3 цифр деньги в течении часа завидут куда скажите.

(Реплика Занозы – Какая душевная забота)

Пятница 25 июля
T:
Здравствуйте, Расшифровка
ой извините поздно прочитала счёт у меня заблокировали а там 50000
для разблокировки нужно всего каких-то 3000
пожалуйста вышлите мне на счет, а после разблокировки я переведу вам 20000
жду с нетерпением

(Примечание – сами понимаете, что со счётом всё в порядке… Т, фана ради, тестирует некий натурализованный вариант «Нигерийских писем»)

На этом пока всё… С нетерпением ждём развития событий… Рада выслушать ваше мнение и предложения по ситуации…