Многим компаниям почти постоянно на общую почту приходят разные подозрительные письма, с примерным текстом "На вас подают в суд" "документы по вашему делу прилагаем во вложении" и т.п., содержащие во вложении файлы, зараженные вирусом в 90% шифровальщиком, если запустить эти файлы из вложения, и если компьютер не был заранее подготовлен от вирусов шифровальщиков, а так же данный вирус был разработан на днях и в антивирусных базах он еще не числится, то почти вся информация на вашем компьютере будет зашифрована и в большинстве случаев без ключа эту информацию никто не сможет расшифровать, можно только рискнуть и перевести деньги злоумышленникам через многим известные биткоинты и надеяться, что они вышлют дешифратор.
Но вот пришло время, когда такие типа "умные злоумышленники" "супер хакеры" даже не напрягаются написать такой вирус шифровальщик, а просто рассылают так же по общим почтовым адресам info@название_компании.ру шаблонный текст с угрозами DDoS-атаки. Об одном таком письме я расскажу в сегодняшней статье.
Пришло нам на общую почту письмо с темой "ФИО нашего старого директора, который у не работает у нас, важное сообщение по поводу DDoS-атаки на сайт вашей организации, уголовном деле в отношении вас и встрече с криминалитетом (напоминание)", и дальше следующий текст:
Здравствуйте, ФИО бывшего директора. Мы входим в международную хакерскую группировку, которую в России обвиняют в кибератаках и информационных войнах. Недавно входе внутриведомственных коррупционных разборок и переделе сфер влияния на рынке информационной безопасности был задержан наш соратник Руслан Стоянов, в связи с чем мы начинаем крупномасштабную кибератаку на российские предприятия, чьи руководители совершали экономические преступления. Если вы хотите, чтобы сайт вашей организации "адрес нашего сайта" работал, вы должны заплатить нам эквивалент 60.000 рублей единоразово. Если вы не оплатите до 09.02.17, ваш сайт будет подвергнут DDoS атаке, а все средства коммуникации (телефон, электронная почта) заблокированы автоматическим звонками и сообщениями, поступающими сотнями в минуту. Сайт, почта и телефон будут недоступны до тех пор, пока вы не заплатите нам. За просрочку платежа будут начисляться пени +10% за каждый день просрочки. Внимание! В случае неоплаты наши специалисты по экономике и статистике подберут самое оптимальное время начала атаки конкретно на организации из отрасли Чёрный металлопрокат, когда она будет находиться на пике деловой активности, чтобы нанести вам самый большой урон. Атака будет нестандартная – от нее на сегодняшний день невозможно отбиться за разумные деньги. Для атаки будут использованы ресурсы одного из захваченных нами летом 2016 крупнейших в мире ботнетов из более чем четырехсот тысяч устройств, который может создать скорость атаки 400 Гигабит/сек. На сегодняшний день не существует технических методов защиты от этой атаки. Платные сервисы защиты от DDoS-атак, такие как cloudflare и многочисленные российские аналоги не способны отбить такую атаку. Стоимость защиты от этой атаки начинается на индивидуальных тарифных планах от $5000 долларов в месяц и ее способны с перебоями предоставить далеко не все сервисы. Если вы хотите, то можете вместо единоразового платежа нам примерно $1000 платить каждый месяц в пять-десять раз больше. Но при этом в наш ботнет входит огромное количество компьютеров, зараженных вирусом, который распространялся ранее нами. И в эти компьютеры входят ваши клиенты и партнеры, и, подключив защиту, они больше не смогут посетить ваш сайт "адрес нашего сайта", так как будут отфильтрованы. Кстати, ФИО бывшего директора, вы знаете, что у нас на руках есть массивы различных документов, в которых фигурируют ваша и связанные с ней организации, вы и ваше окружение, которые мы вытянули из зараженных компьютеров, служебные документы, вытянутые при заражении ИФНС 6670 и других учреждений? С материалами при выборе вашей организации как цели атаки уже ознакомились наши юристы и экономисты и пришли к выводу, что вас можно привлечь к уголовной ответственности по ч.2 ст. 199 УК РФ и ч.1 ст. 291 УК РФ. Конечно же, если вы не заплатите, мы не только вас атакуем, но и направим информацию в ОБЭП по городу Екатеринбург, и вы будете наказаны лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. Также если вы нам не заплатите, мы постараемся выйти на связь с представителями криминальных группировок вашего региона на теневых площадках и продать им всю имеющуюся информацию про ваше материальное благосостояние как наводку за половину цены назначенного вам выкупа. Что они с вами сделают, мы даже вообразить не можем. Забросят что-нибудь в окно, или прикрепят к квадрокоптеру-беспилотнику. Никто не защитит, никто не поможет. Кроме нас, в случае оплаты. К кому бы вы не обратились за помощью, они сами боятся, что к ним в окно залетит подобное… Оформят, что бытовой газ взорвался, или люди в алкоугаре перестреляли друг друга. Сделать тут ничего нельзя… Молекулярно-генетическая экспертиза и похороны в закрытом гробу обойдутся гораздо дороже откупа. Мы придерживаемся версии, что самый оптимальный путь – физическое уничтожение, а позже просто снятие активов по поддельным документам… На имена людей, которые уже никуда не придут, ничего не скажут. В прочем, мы вас за людей-то и не считаем (пока не докажете свое существование платежом). А между делом, люди исчезают, и активы переписываются… В 2017 год на дворе, и все это в России, в вашем городе. sI Обобщая вышесказанное, если вы обратитесь в фирму, занимающуюся защитой от ddos-атак, то скорее всего, она не сможет отбить атаку, а ляжет сама, а если и сможет, то за очень большие деньги, а вы не только разорите организацию, но и встретитесь и криминалом, и с силовыми ведомствами и попадете за решетку. Вам следует понимать, что ваша организация не первая и не последняя, но выбрали мы ее не просто так. Есть множество людей, которых мы выбираем вполне обоснованно. В наш список нельзя попасть, занимаясь, например, благотворительностью или образованием. Но очень просто, ведя нечестную игру, даже в этих сферах. И мы сможем дойти до всех. Главное наше достижение – что ботнет способен атаковать одновременно 256 целей! Это рекорд, ведь все остальные способны атаковать до 10 целей максимум. Он достигается географическим распределением нагрузки внутри ботнета и автоматическим лимитированием скорости атаки, которая рассчитывается индивидуально для каждой цели в зависимости от ее технической платформы и автоматически меняется в процессе атаки. Боты объединяются в так называемые ячейки, каждая из которых атакует определенный ресурс, а количество ботов в каждой ячейке динамически регулируется. Один бот может быть переведен в другую ячейку (соту) в один момент – такой принцип мы подсмотрели у системы работы базовых станций сотовой связи. Именно мы проводили DDoS-атаки на Сбербанк и другие банки в ноябре 2016 г. Именно нашу атаку на банковскую систему ждали 5 декабря 2016. Когда мы испытывали свой ботнет, ради интереса совместно с другими уважаемыми и влиятельными группировками устраивали атаки на сайты органов государственной власти – ложился даже сайт Президента и ФСБ и некоторые зарубежные сервисы, такие как клиенты DYN, SONY. Это так, чтобы вы поняли уровень, что атаке не могут противостоять не только отечественные, но и даже зарубежные сервисы. Не ищите защиту от наших атак – ее нет. Мы убедительно просим вас не обращаться в правоохранительные органы! Со всей убедительностью, на которую способны! Не подкидывайте им работу, не отвлекайте людей от реально необходимой вам деятельности по охране общественной безопасности. Поберегите леса на бумагу и скоросшиватели на картон – сохраните экологию и здоровье детей, чтобы не видеть, как сбываются самые худшие страхи: смерть детей, увядание их способностей и талантов. У вас может возникнуть иллюзия, что если вы пожалуетесь, то это разрешит эту угрозу. Не решит, а только усугубит. У вас буквально земля будет гореть под ногами. Иллюзию может сформировать регулярно показываемое по телевидению показательно-демонстративное видео задержания каких-то отстающих в физическом развитии хакеров путем спиливания двери болгаркой или даже входа альпинистов в масках через окно. Никто вам эффектное зрелище, когда спецназ, боящийся вступать в бой с реальными бандитами, ловит кого-то, не оказывающего сопротивления, чтобы показать свою значимость, не покажет. Спешим вас разочаровать, что авторы письма уже несколько лет не являются субъектами распространении законодательства в пространстве по причине выхода из гражданства российского и находятся на юридически недосягаемой территории Таиланда и прекрасно учли опыт Полонского из соседней Камбоджи. Более того, они следуют концепции, что безопасность нужно достигать не техническими методами, а политическими, например, быть необходимыми тем самым заокеанским партнерам. Так что еще раз повторяем – не вздумайте куда-то жаловаться: это бесполезно и опасно, и ничего хорошего вам от этого не будет, тем более что вы сами законы нарушали. В лучшем случае вам вашу жалобу свернут в трубочку и засунут куда знаете. А в худшем самих привлекут и скажут что это письмо вы отправили сами себе и обложат данью похлеще. Правоохранительным органам абсолютно плевать на ваш ресурс - у них есть задачи поважнее, чем охрана коммерческого сайта "адрес нашего сайта". И обращение к ним за защитой такое же преступление, как телефонный терроризм – отвлекает ресурсы от реальных заданий. А вот какие-либо отморозки убить или покалечить из-за того, что вы отвлекли силы правоохранительных органов не на их поиск, вполне могут. И ловящий инвалидов спецназ на штурм захваченной школы с вашими детьми не пойдет – занят он работой по вашей жалобе, видите ли, выносит квартиру какому-нибудь подхватившему вирус бедолаге.
Вы можете пойти дальше и глупее, обратиться к каким-нибудь специалистам по информационной безопасности, которые в случае компетенции охладят ваш пыл предупреждением про бесперспективность затеи, а в случае некомпетенции только разведут на деньги и усугубят ситуацию. А мы не снимем атаку и добьем вас до конца всеми возможными, и даже некоторыми неназванными способами. В нашу группу входят люди с профильным образованием и даже с опытом проведения оперативно-розыской работы, и мы надеемся, что у вас нет иллюзий касающихся того, что лучшие работают не на государство, а на себя. В качестве обнадеживания хотим сказать, что оплатив выкуп, вам сразу станет хорошо и спокойно на душе: пока нет зарубежных группировок с подобной мощностью, работающих по России, а от атак остальных вас с удовольствием защитят многочисленные компании за приемлемые деньги. А тенденции по изолированию и цензуре российского сегмента Интернета когда-нибудь все угрозы сведут на нет. Введение ограничений Интернета, как в Китае, единственная возможность обеспечить информационную безопасность страны. Но это будет не скоро. Придется подождать. Вы главное Путина поддерживайте, вовремя Богу показательно молитесь, или Аллаху, если в вашем регионе он сильнее Бога, давайте взятки кому нужно, и хайте того, кого не нужно… И проблем с бизнесом не будет. Но не с нами… Вам следует понимать, что хакеры сейчас играют уже не ту роль, что прежде. Это уже не люди, которые очень хорошо разбираются в компьютерах, как было на заре хакерской культуры. Это не преступники, которые взламывали системы и воровали информацию и деньги, как было в 2000-е. Хакеры сейчас стали инструментом политической борьбы, информационных воин. А вы стали разменной монетой в информацонной войне, развязанной воровской политикой Путина при полном одобрении населения. Но даже сейчас хакеры имеют нормы морали. И выбирают разменную монету не просто так, а за дело. И вам придется платить, если хотите спокойно жить. Ну а теперь финальная часть – это про выкуп. Конечно же, вы оплатите его через небезызвестный Bitcoin. Откуп оплачивается один раз, и распространяется на все ваши предприятия, даже которые могут быть зарегистрированы в будущем. Сумму в BTC, эквивалентную 60.000 рублей по сегодняшнему курсу нужно перевести на следующий Bitcoin-адрес – 16ReRcP3o92MiYKWyTgyCSpPgJX4HZqqMZ Адрес для получения строго копировать из электронного письма. Перепечатывать его нельзя: опечатаетесь и окажетесь без денег и под атакой. Отправить Bitcoin на этот адрес можно несколькими способами. Первый – это одним платежом с банковской карты через электронный обменник. Ищите по запросу Обмен bitcoin. Обменник должен иметь резерв не менее 1,5 BTC. При этом может понадобиться верификация карты, т.е. отправка ее фотографии в данный обменный пункт. Вам нужно будет обменять деньги с карты на Bitcoin, т.е. купить его за рубли на указанный выше адрес для получения. Второй – это несколькими платежами через обмен с различных электронных кошельков, создавая их и пополняя частями. Третий – завести свой кошелек, пополнить и перевести средства из него на наш кошелек. hnrM Как купить биткойн, ищите в Интернете. Сам способ оплаты значения не имеет, главное сделать это до 09.02.17. Учтите, что обмен электронных средств на Bitcoin происходит с задержкой до 1 дня, а внутренние транзакции имеют задержку несколько часов. В исключительном случае, если во всех существующих обменниках не хватает резерва, мы продлим срок оплаты и не будем начислять пени еще одну неделю. Не откладывайте платеж на последний день – считайте, что он уже наступил. За просрочку платежа будут начисляться пени +10% за каждый день просрочки, и учтите, что пока придет время атаки на ваш сайт там может набежать приличная сумма, исчисляемая сотнями тысяч. Не отвечайте на письмо – связь с нами невозможна. Мы связываемся сами, когда считаем это нужным. После того как оплатите, нужно сделать подтверждение оплаты. Для этого создайте страницу по адресу "адрес нашего сайта"/0x00076458.html на которой должно быть написано следующее: «PAID и далее перечислены все даты и время, когда вы отправляли деньги», например «PAID 02.02.2017 17-45, 02.02.2017 17-53» Вскоре после 09.02.17 мы проверим поступление оплаты и в случае ее поступления внесем ваш сайт в список защищаемых, либо наоборот атакуемых. Мы гарантируем безопасность и дальнейшую неприкосновенность в случае оплаты, потому что заинтересованы в имидже, чтобы все знали, что мы отвечаем за слова, что проще и дешевле нам заплатить, чем искать другую защиту и т.п. one Также вы получаете от нас ряд бонусов, помимо дальнейшей протекции от заказов конкурентов, других групировок и безопасности. Вы можете заказать ddos-атаку на сайты ваших конкурентов и врагов, а также телефонный флуд, т.е. атаку на телефон сотнями одновременных звонков. Стоимость составляет 60.000 рублей в неделю, при этом оплата только за результат. На вторую и последующую цель скидка 80%. Это уникальное на рынке предложение, поскольку мы предлагаем сверхмощную атаку по стоимости в 7-10 раз ниже рынка. Это возможно за счет нашего ботнета, который способен разделяться на сегменты и одновременно способен атаковать сотни целей. Если вас это интересует, то дайте нам знать, создав страницу по адресу "адрес нашего сайта"/fxfff76458a075986969.html на которой напишите код «APPLY». О существовании данной страницы никто не узнает, поскольку ее адрес закодирован. А мы отметим ваш интерес в наших услугах, и по возможности попытаемся с вами связаться и сообщить, как вы сможете анонимно и безопасно заказать у нас интересующие услуги и сообщить свои пожелания. Но заказ услуг не освобождает вас от оплаты выкупа, хотя в некоторых случаях мы можем зачесть его в счет оплаты наших услуг. И еще раз – оплатить нужно до 09.02.17 и строго по указанному адресу и процедуре. Если вы не оплатите до указанного числа, то будете атакованы в самый неподходящий момент, а остановка атаки будет стоить в разы дороже. Пени будут начисляться каждый день, а новое требование не заставит себя ждать. Вы разорите организацию, сами отправитесь за решетку, а ваши родные и близкие станут жертвами бандитов, если не заплатите. Знайте. Думайте. Остерегайтесь.
Это из разряда, когда какие-нибудь алкаши, наркоши и прочий сброд бесполезных и ничего не умеющих людей ходят по дворам и раскладывают записки типа "если не скинете деньги на этот номер или электронный кошелек, то ваш автомобиль пострадает", только теперь такие добрались до интернета.
Не ведитесь на эту фигню, они ищут корпоративные сайты, ищут на них фио директора, общий ящик компании и вставляют в шаблонный текст эти данные и рассылают сотнями а то и тысячами экземплярами.
Конечно люди далекие от сферы ИТ испугаются такого письма, но воспринимать в серьез это не нужно. Нужно больше опасаться странных писем со странными вложениями, в которых находятся шифровальщики, от них тяжелее защититься, нужно организовывать бэкапы, закрывать командную строку и т.п. У меня кстати был случай на работе с этим вирусом шифровальщиком, отправляли зашифрованные файлы в др веб по лицензии они тоже ничем не могли помочь, слишком сложный ключ для шифрования был, пришлось платить 10 тыс. руб. биткоинтами, чтоб выслали злоумышленники дешифратор, и в моём случае я получил дешифратор (повторюсь, что только в моём, т.к. в вашем случае они могут просто получить деньги и в ответ ничего не выслать).
Что я посоветую: делайте бэкапы, не открывайте подозрительные файлы во вложении, особенно пришедшие на общую почту компании, проведите инструктаж по поводу подозрительных файлов и не экономьте на хорошо квалифицированном ИТ-специалистах, которые разбирается в защите информации от различных методах атаки на них, ведь именно они не дают пропасть важным данным вашей компании, не экономьте на средствах для бэкапа, а так же не ведитесь на такие пустые угрозы типа "хакеров".
