Не договаривайтесь с  террористами⁠⁠

Это уже какая-то странно длинная ветка. Но все таки продолжу. Потому это будет не как ответ как пост, а пост отдельный.

Итак, мысль поста в заголовке - никогда не пытайтесь договорится и тем более заплатить террористам. Они вас кинут. Кинут просто потому, что они уже получили от вас то, что хотели, а дальше вы им просто не интересны. Но вернемся к реальности.

Чуть раньше я писал пост о активации хакеров, как следствии - взломов сетей предприятий. На данный момент только я знаю о десятке! Сценарии разные, доступ получали разными способами, где-то сеть была поломана вообще в прошлом году, но серьезная атака началась только сейчас. Обычно это шифрование всего, до чего смогли дотянутся взломщики. Способы разные, основные, внезапно - BitLocker и Loki. Если первый это однозначный захват AD серверов, и их шифрование, а дальше уже можно шифровать все остальное, то второй - захват пользователя с достаточным доступом для шифрования массы данных, так что бы пострадавшему лицу было больно.

Но тут интересна одна из попыток расшифровать данные договорившись с террористами. Итак, все просто, вывод я вам напишу прямо сразу, он уже в заголовке - даже если вы отвалите "хацкерам" 3000 баксов вы нихрена не получите. Почему? Да все просто, хацкеры атаковали с сервера AD, шифровали с сервера AD и убили сервер AD, все, что вам нужно это отправить хацкерам ветку реестра сервера AD, куда вы не можете получить доступ в принципе, потому как хацкеры его зашифровали и "немного ошиблись". И здесь прекрасно все. Как наличие дыр, ладно, это мы пока забудем. Так и реальное решение руководства компании оплатить требования вымогателей. Что-то они получили? Нихера. Особенность Loki заключается в том, что для расшифровки файлов до 2 мегабайт нужно 2 ключа. Первый - это файл который валяется по всем зашифрованным дискам. 2 ключ - это файл который шифровальщик отправил на сервер вымогателей. Но есть файлы больше 2 мегабайт и там начинает работать другой алгоритм, это те же два ключа, но первый записан в реестр той машины с которой шифровали, а второй так же на сервере вымогателей. И тут получилось забавно. Сервер с которого шифровали данные не доступен. Вымогатели все еще могут, технически, расшифровать все файлы до 2 мегабайт. Но...

Они уже получили от вас деньги, потому что без получения денег они и разговаривать с вами не станут. А вот дальше они выяснят, что не могут расшифровать все и потеряют к вам интерес. При чем они даже предложили вернуть деньги, только вот одно... Никто их не вернет. Смысла нет возвращать лоху его бабло. Так что даже не 5 а 10 раз подумайте и не платите никогда. Что бы не писали на "профильных ресурсах", что бы не говорили псевдо эксперты. Это не бизнес! Это терроризм! И работает эта хрень только до тех пор пока кто-то им платит. Когда перестанут, такой тип заработка просто умрет. Ну как-то так. А я жду следующую зашифрованную контору где  нет бекапов оторванных от сети.