LockBit 3.0

Содержание
  • Введение
  • Эволюция
  • LockBit 3.0
  • Основные характеристики LockBit 3.0
  • LockBit 3.0 в дикой природе
  • MITRE&TTACK
  • Расследование
  • Меры по снижению рисков
  • Заключение

Введение

Вирусы-вымогатели или ransomware, представляют одну из самых серьезных угроз в современной кибербезопасности. Они шифруют данные жертвы и требуют выкуп за их расшифровку. Эти атаки могут иметь катастрофические последствия для частных лиц, компаний и даже государственных учреждений.
Отрасли, наиболее подверженные атакам
1. Здравоохранение:
o В 2021 году 34% всех атак ransomware были направлены на медицинские учреждения.
o Пример: Атака на HSE Ireland (2021) привела к остановке работы системы здравоохранения.
2. Финансовый сектор:
o Банки и страховые компании часто становятся целями из-за их чувствительных данных.
3. Образование:
o Школы и университеты подвергаются атакам из-за слабой защиты и большого количества пользователей.
4. Государственные учреждения:
o Атаки на правительственные организации могут парализовать работу целых регионов.
5. Критическая инфраструктура:
o Энергетика, транспорт и водоснабжение все чаще становятся целями.
o Пример: Атака на Colonial Pipeline (2021) привела к остановке крупнейшего трубопровода в США.


Эволюция

Вернемся ненадолго в прошлое и разберем, откуда и какие были первые вирусы шифровальщики.
История вирусов-шифровальщиков началась в конце 1980-х годов и прошла несколько этапов развития, превратившись из простых экспериментов в одну из самых опасных киберугроз современности. Вот краткий обзор ключевых этапов:

1. 1989: Первый ransomware — AIDS Trojan
  • Автор: Джозеф Попп, биолог.
  • Как работал: вирус распространялся через дискеты, маскируясь под программу для изучения СПИДа. Он шифровал имена файлов на компьютере и требовал $189 за их восстановление.
  • Особенность: это был примитивный ransomware, так как он использовал симметричное шифрование и ключ можно было легко извлечь из кода.

2. 2000-е: Появление современных ransomware
  • В этот период вирусы начали использовать более сложные методы шифрования.
  • Примеры:
  • GpCode (2006): использовал RSA-шифрование для блокировки файлов.
  • Archiveus (2006): шифровал файлы в папке "Мои документы" и требовал покупки товаров на определенном сайте для получения ключа.

3. 2013: Эра CryptoLocker
  • CryptoLocker: один из первых ransomware, который использовал асимметричное шифрование (RSA-2048), делая восстановление данных без ключа практически невозможным.
  • Распространение: через вложения в фишинговых письмах и сеть ботнетов Gameover Zeus.
  • Выкуп: требовал оплату в Bitcoin, что сделало его популярным среди злоумышленников.

4. 2015-2017: Массовые эпидемии
  • TeslaCrypt: нацелен на игровые файлы (например, сохранения в играх). Позже авторы выпустили мастер-ключ для расшифровки.
  • WannaCry (2017): использовал уязвимость EternalBlue в Windows. Заразил сотни тысяч компьютеров по всему миру, включая системы Национальной службы здравоохранения Великобритании (NHS).
  • NotPetya (2017): маскировался под ransomware, но на самом деле был вирусом-убийцей (wiper), который уничтожал данные без возможности восстановления.

5. 2018-2020: Ransomware-as-a-Service (RaaS)
  • Модель RaaS: злоумышленники начали предлагать ransomware в аренду другим преступникам, получая процент от выкупа.
  • Примеры:
  • GandCrab: один из самых успешных RaaS, заработавший более $2 миллиардов.
  • REvil (Sodinokibi): известен атаками на крупные компании, такие как JBS Foods и Kaseya.

6. 2020-2023: Двойное вымогательство и атаки на критическую инфраструктуру
  • Двойное вымогательство: Ransomware начал не только шифровать данные, но и красть их, угрожая публикацией в случае отказа от выплаты.
  • Атаки на критическую инфраструктуру:
  • Colonial Pipeline (2021): атака ransomware DarkSide привела к остановке крупнейшего трубопровода в США.
  • HSE Ireland (2021): атака на систему здравоохранения Ирландии.
  • LockBit 3.0 (2022): один из самых продвинутых ransomware, использующий сложные методы уклонения и распространения.

7. Современные тенденции
  • Усложнение методов: Ransomware использует AI, машинное обучение и автоматизацию для повышения эффективности.
  • Целевые атаки: злоумышленники все чаще выбирают конкретные организации для атак, чтобы максимизировать выкуп.
  • Борьба с ransomware: правительства и компании активно разрабатывают меры противодействия, включая международное сотрудничество и запрет на выплату выкупов.
Ransomware эволюционировал от простых экспериментов до сложных инструментов киберпреступности, представляя серьезную угрозу для всех секторов экономики.


LockBit 3.0

LockBit 3.0 (также известный как LockBit Black) — это третья версия печально известного ransomware-семейства LockBit, которое активно используется киберпреступниками для атак на организации по всему миру. LockBit впервые появился в 2019 году и с тех пор постоянно развивается, становясь одной из самых опасных и технологически продвинутых ransomware-групп.
LockBit 3.0 был анонсирован в июне 2022 года и представляет собой значительное обновление по сравнению с предыдущими версиями. Он отличается улучшенными функциями, повышенной сложностью и новыми методами уклонения от обнаружения.


Основные характеристики LockBit 3.0

1.Усовершенствованная функциональность:
o LockBit 3.0 включает в себя новые функции для шифрования данных, такие как поддержка AES и RSA для шифрования файлов.
o Использует многопоточность для ускорения процесса шифрования, что позволяет атаковать большие объемы данных за короткое время.
2.Автоматизация и масштабируемость:
o LockBit 3.0 поддерживает автоматическое распространение по сети, что позволяет ему быстро заражать другие устройства в корпоративной среде.
o Использует групповые политики (GPO) и другие методы для распространения в доменных сетях.
3.Уклонение от обнаружения:
o LockBit 3.0 использует сложные методы для обхода антивирусов и систем защиты, включая:
§ Обфускацию кода (запутывание).
§ Отключение антивирусных программ.
§ Использование легитимных системных инструментов (например, PowerShell или PsExec) для выполнения вредоносных действий.
4. Модель Ransomware-as-a-Service (RaaS):
o LockBit работает по модели RaaS, где разработчики предоставляют злоумышленникам доступ к своему ransomware в обмен на процент от выкупа.
o Это позволяет даже неопытным киберпреступникам использовать LockBit для атак.
5.Двойное вымогательство:
o LockBit 3.0 не только шифрует данные, но и угрожает опубликовать украденную информацию, если жертва не заплатит выкуп.
o Это увеличивает давление на организации, особенно если утечка данных может привести к репутационным или юридическим последствиям.
6.Bug Bounty Program:
o LockBit 3.0 уникален тем, что его создатели предложили программу вознаграждений за баги для тех, кто найдет уязвимости в их ransomware. Это демонстрирует высокий уровень профессионализма и стремление к совершенствованию своих инструментов.


LockBit в дикой природе

В начале 2023 года в сеть утекли исходные коды и билдер LockBit 3.0 (также известного, как LockBit Black). Это позволило исследователям кибербезопасности и энтузиастам изучить внутреннюю работу зловреда. Но и есть обратная сторона, билдер может попасть в руки абсолютно любому злоумышленнику с навыками чуть выше «эникейщика», и использовать его в преступных целях. Утечка, вероятно, связана с внутренними конфликтами преступного сообщества. LockBit работает по модели RaaS, где разработчики предоставляют инструменты своим "партнерам" (аффилиатам), которые проводят атаки. Иногда такие отношения заканчиваются утечками.

Initial Access (первоначальный доступ)

Drive by compromise (Теневая компрометация) T1489
LockBit получают доступ к системе через пользователя, посещающего веб-сайт в ходе обычного просмотра.

Exploit Public-Facing Application (недостатки в общедоступном приложении) T1190
LockBit 3.0 может использовать уязвимости (например, Log4Shell) в интернет-системах для получения доступа к инфраструктуре жертв.

External Remote Services (Внешние службы удаленного доступа) T1133
Использование RDP для получения доступа к сетям жертв.

Phishing (Фишинг) T1566
Используется фишинг для доступа в сеть жертвы

Valid Accounts (Существующие учетные записи) T1078
Получение существующих учетных записей для получения первоначального доступа


Execution (Выполнение)

Command and Scripting Interpreter: Windows Command Shell (Интерпретаторы командной строки и сценариев) T1059.003
Использование пакетных сценариев для выполнения вредоносных команд.

Software Deployment Tools (Средства развертывания ПО) T1072
Использование Chocolatey, менеджер пакетов командной строки для Windows.

System Services: Service Execution (Системные службы) T1569.002
LockBit 3.0 применяет PsExec для выполнения команд или полезных данных.


Persistence (Закрепление)

Boot or Logon Autostart Execution (Автозапуск при загрузке или входе в систему) T1547
LockBit обеспечивают автоматический вход в систему.

Valid Accounts (действительные аккаунты) T1078
Использование скомпрометированной учетной записи пользователя для обеспечения постоянного присутствия в целевой сети.


Defense Evasion (Предотвращение обнаружения)

Execution Guardrails: Environmental Keying (Ограничение н использование\ Использование ключей на основе окружения)T1480.001
LockBit 3.0 расшифровывает основной компонент или продолжает расшифровывать и/или распаковывать данные только в том случае, если введен правильный пароль.

Impair Defenses: Disable or Modify Tools (Ослабление защиты: отключение или изменения инструментов) T1562.001
Аффилированные лица LockBit 3.0 используют такие инструменты, как Backstab, Defender Control, GMER, PCHunter, PowerTool, Process Hacker или TDSSKiller, чтобы отключить процессы и службы EDR.
Так же используется Bat Armor для обхода политики выполнения PowerShell.
Аффилированные лица LockBit могут применять пакетный скрипт 123.bat для отключения и удаления антивирусного программного обеспечения.
LockBit 3.0 может изменять и/или отключать средства безопасности, включая EDR и антивирусы, чтобы избежать возможного обнаружения вредоносного ПО, инструментов и активности.

Indicator Removal: Clear Windows Event Logs (Удаление индикаторов\Очистка журналов событий Windows) T1070.001
После окончания шифрования LockBit чистит Windows Event Log

Indicator Removal: File Deletion (Удаление индикаторов\ Удаление файлов) T1070.004
LockBit 3.0 сам себя удаляет после завершения шифрования

Obfuscated Files or Information (Обфускация файлов или данных) T1027
LockBit 3.0 будет отправлять зашифрованную информацию о хосте на свои серверы управления и контроля (C2).

Obfuscated Files or Information: Software Packing (Обфускация файлов или данных) T1027.002
Аффилиаты LockBit могут выполнять упаковку программного обеспечения или защиту программного обеспечения виртуальных машин, чтобы скрыть свой код. Для этой цели использовался Blister Loader.


Credential Access (Доступ к учетным записям)

Brute Force T1110
Аффилиаты LockBit могут использовать учетные данные VPN или RDP добытые методом «брутфорса» в качестве первоначального доступ.

Credentials from Password Stores: Credentials from Web Browsers (Учетные данные из хранилищ паролей) T1555.003
Участники LockBit 3.0 используют PasswordFox для восстановления паролей из браузера Firefox.

OS Credential Dumping (Получение дампа уетных записей ОС) T1003
Субъекты LockBit 3.0 используют ExtPassword или LostMyPassword для восстановления паролей из систем Windows.

OS Credential Dumping: LSASS Memory (Получение дампа учетных записей ОС\ Память процесса LSASS) T1003.001
LockBit может использовать Microsoft Sysinternals ProDump для дампа содержимого lsass.exe. Так же LockBit использовали Mimikatz для сбора учетных данных.


Discovery (Обнаружение)

Network Service Discovery (Изучение сетевых служб) T1046
Использование сетевого сканера SoftPerfect, Advanced IP Scanner или Advanced Port Scanner, AdFind для сканирования и энумерации целевых сетей.

System Information Discovery (Изучение системы) T1082
LockBit будет определять системную информацию, включая имя хоста, конфигурацию хоста, информацию о домене, конфигурацию локального диска, удаленные общие ресурсы и подключенные внешние устройства хранения.

System Location Discovery: System Language Discovery (Изучение местоположения системы\ Язык системы) T1614.001
LockBit 3.0 не будет заражать компьютеры с языковыми настройками, которые соответствуют определенному списку исключений.

Lateral Movement (Перемещение внутри периметра)*


Remote Services: Remote Desktop Protocol (Службы удаленного доступа) T1021.001
Использование ПО для удаленного рабочего стола Splashtop для облегчения перемещения по инфраструктуре.

Remote Services: Server Message Block (SMB)/Admin Windows Shares (Общие SMB- и административные ресурсы Windows) T1021.002
Использование Cobalt Strikeи атака SMB ресурсов для дальнейшего передвижения


Collection (Сбор данных)

Archive Collected Data: Archive via Utility T1560.001 (Архивация собранных данных)

Использование 7-zip архиватора для сжатия и шифрования данных готовых к выгрузке


Command and Control (организация управления)

Application Layer Protocol: File Transfer Protocols (Протокол прикладного уровня\Протоколы передачи данных) T1071.002
Использование FileZilla для С2

Application Layer Protocol: Web Protocols (Протокол прикладного уровня\Веб протоколы) T1071.001
Использование ThunderShell в качестве инструмента удаленного доступа, который обменивается данными через HTTP-запросы.

Non-Application Layer Protocol (Протоколы неприкладного уровня) T1095
Использование Ligolo для создания туннелей SOCK5 или TCP из реверсивного соединения.

Protocol Tunneling (Тунеллирование протокола) T1572
Использование Plink для автоматизации действий SSHв Windows

Remote Access Software (ПО для удаленного доступа) T1219
Использование AnyDesk, AteraRMM. ScreenConnectили TeamViewer для соединения с C2 сервером.


Exfiltration (Эксфильтрация данных)

Exfiltration Over Web Service (Эксфильтрация через веб службы) T1567
Использование общедоступными службами обмена файлами для кражи данных жертвы

Exfiltration Over Web Service: Exfiltration to Cloud Storage (Эксфильтрация через веб службы\ в облачное хранилище)
Использование Rclone менеджер облачного хранилища командной строки с открытым исходным кодом или FreeFileSync для кражи данных. А также MEGA, общедоступную службу обмена файлами для дальнейшей кражи данных.


Impact (Деструктивное действие)

Data Destruction (Уничтожение данных) T1485
Уничтожение логов и опустошение корзины.

Data Encrypted for Impact (Шифрование данных) T1486
Шифрование данных в целевых системах, чтобы прервать доступность системных и сетевых ресурсов. Windows, Linux, MacOS(c недавних пор) и VMware подвержены этому.

Defacement: Internal Defacement (Дефейс внтуренних систем) T1491.001
Изменение обоев на рабочем столе и добавление иконок LockBit 3.0

Inhibit System Recovery (воспрепятствование восстановлению системы) T1490
Удаление теневых копий с жестких дисков.

Service Stop (Остановка служб) T1489
Остановка служб и процессов ОС

Расследование

Приведем краткий пример деятельности LockBit 3.0. В течении месяца нам удалось поучаствовать в расследовании нескольких инцидентов связанных с LockBit. Инфраструктура пострадавших была заражена, файлы рабочих станций оказались зашифрованы, а чувствительные данные утекли в руки злоумышленников. Собрав дампы памяти, мы приступили к расследованию.
В ходе изучения дампа памяти доменного контроллера выяснилось, что первоначальный доступ был получен через RDP.
Запись из журнала событий доменного контроллера
Далее был найден файл ConsoleHost_historyс весьма любопытным содержимым
На компьютере жертвы был запущен скрипт, затрагивающий защитные функции Windows, такие как:
Удаление существующих политик Windows Defender
reg delete 'HKLM\Software\Policies\Microsoft\Windows Defender' /f

Отключение антивируса и антишпионскоо ПО Windows
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender' /v 'DisableAntiSpyware' /t REG_DWORD /d '1' /f
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender' /v 'DisableAntiVirus' /t REG_DWORD /d '1' /f
Отключение Push-уведомлений от MpEngine
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine' /v 'MpEnablePus' /t REG_DWORD /d '0' /f

Отключение мониторинга поведения и защиты в реальном времени
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection' /v 'DisableBehaviorMonitoring' /t REG_DWORD /d '1' /f
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection' /v 'DisableIOAVProtection' /t REG_DWORD /d '1' /f
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection' /v 'DisableOnAccessProtection' /t REG_DWORD /d '1' /f
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection' /v 'DisableRealtimeMonitoring' /t REG_DWORD /d '1' /f
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection' /v 'DisableScanOnRealtimeEnable' /t REG_DWORD /d '1' /f

Отключение расширенных уведомлений Windows Defender
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender\Reporting' /v 'DisableEnhancedNotifications' /t REG_DWORD /d '1' /f

Отключение блокировки при первом обнаружении, отправку отчетов в SpyNet и отправку образцов.
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet' /v 'DisableBlockAtFirstSeen' /t REG_DWORD /d '1' /f
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet' /v 'SpynetReporting' /t REG_DWORD /d '0' /f
reg add 'HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet' /v 'SubmitSamplesConsent' /t REG_DWORD /d '2' /f

Отключение логгеров Windows Defender
reg add 'HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger' /v 'Start' /t REG_DWORD /d '0' /f
reg add 'HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger' /v 'Start' /t REG_DWORD /d '0' /f

Отключение задач планировщика Windows Defender
schtasks /Change /TN 'Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh' /Disable
schtasks /Change /TN 'Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance' /Disable
schtasks /Change /TN 'Microsoft\Windows\Windows Defender\Windows Defender Cleanup' /Disable
schtasks /Change /TN 'Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan' /Disable
schtasks /Change /TN 'Microsoft\Windows\Windows Defender\Windows Defender Verification' /Disable

Вывод сообщения об успешном выполнении
Write-Output 'Windows Defender real-time protection has been disabled.'

Результат деятельности скрипта

Однако на этом деятельность скрипта не заканчивается. В конце мы видим команду запуска исполняемого файла и пароль к нему, который является непосредственно LockBit.
Отчет VirusTotal исполняемого файла (имя файла содержит часть названия организации клиента, и в целях конфиденциальности было скрыто)
Запуск этого файла приводит к шифрованию данных, и после завершения процедуры удаляет себя и чистит за собой логи.
На прощание LockBit отправил на принтеры команду печати текстового файла с выкупом, и не забыл оставить их копии на рабочем столе сменив на фирменные обои.
Примечательно, что текст выкупа был написан на русском языке, что приводит нас к выводу, что это была целенаправленная атака.

МЕРЫ ПО СНИЖЕНИЮ РИСКОВ


· Реализуйте план восстановления для поддержания и хранения нескольких копий конфиденциальных или проприетарных данных и серверов в физически отдельном, сегментированном и безопасном месте (например, жесткий диск, облако).
· Требуйте, чтобы все учетные записи с паролями (например, сервисные учетные записи, административные учетные записи и учетные записи администратора домена) соответствовали стандартам для разработки и управления политиками паролей.
· Используйте более длинные пароли, состоящие из не менее 8 и не более 64 символов.
· Храните пароли в хэшированном формате с использованием признанных в отрасли менеджеров паролей.
· Добавляйте "соль" к общим учетным данным для входа.
· Избегайте повторного использования паролей.
· Реализуйте блокировку учетных записей после нескольких неудачных попыток входа.
· Отключите подсказки для паролей.
· Не требуйте смены пароля чаще одного раза в год. Частые смены паролей могут привести к созданию шаблонов, которые злоумышленники могут легко расшифровать.
· Требуйте учетные данные администратора для установки программного обеспечения.
· Требуйте мультифакторную аутентификацию, устойчивую к фишингу, для всех служб, особенно для веб-почты, VPN и учетных записей, имеющих доступ к критически важным системам.
· Поддерживайте актуальность всех операционных систем, программного обеспечения и микропрограмм. Своевременное обновление — один из наиболее эффективных и экономичных шагов для минимизации рисков киберугроз.
· Сегментируйте сети для предотвращения распространения вирусов вымогателей. Сегментация помогает контролировать потоки трафика между подсетями и ограничивает перемещение злоумышленников.
· Выявляйте, обнаруживайте и исследуйте аномальную активность и возможное проникновение с помощью инструментов мониторинга сети. Для обнаружения ransomware внедрите инструмент, который регистрирует и сообщает о всем сетевом трафике, включая перемещение внутри сети. Инструменты EDR особенно полезны для обнаружения несанкционированных подключений.
· Устанавливайте, регулярно обновляйте и включайте режим реального времени для антивирусного программного обеспечения на всех устройствах.
· Проверяйте контроллеры домена, серверы, рабочие станции и активные каталоги на наличие новых или неизвестных учетных записей.
· Аудит учетных записей с административными привилегиями и настройте контроль доступа в соответствии с принципом наименьших привилегий.
· Отключите неиспользуемые порты.
· Фильтруйте все электронные письма, полученные извне вашей организации.
· Отключите гиперссылки в получаемых электронных письмах.
· Реализуйте временный доступ для учетных записей уровня администратора и выше. Например, метод Just-in-Time (JIT) предоставляет привилегированный доступ по необходимости и поддерживает принцип наименьших привилегий (а также модель Zero Trust).
· Отключите выполнение командной строки и скриптов. Повышение привилегий и перемещение внутри сети часто зависят от утилит, запускаемых через командную строку.
· Поддерживайте оффлайн-резервные копии данных и регулярно проверяйте их восстановление.
· Убедитесь, что все резервные копии зашифрованы, неизменяемы (т.е. не могут быть изменены или удалены) и охватывают всю инфраструктуру данных организации.
Заключение
Вирусы-вымогатели представляют серьезную угрозу для организаций любого масштаба. Профилактика, подготовка и оперативное реагирование являются ключевыми элементами для минимизации рисков и последствий таких атак. Д_̪̻̫͓͍ͣͨ̉̄̅͢͝ля этого, соблюд̡̦̤̝̯͉̻̦̯̰͕̃̓̋̊̒̈́ͮа̶͍̖̤̝̜͊ͮйте меры по пре̛͓͖̮̝͈̺͍ͣ͛͒̇͗͆̾̈̈́̿͜͟͟д̖̟̙̲̰̍̾̆ͪ̎͒͡о͚̫̣̱͉͔͂̆̆ͩͮ͗ͦͬ̓ͦ͢͝͞твращению, и оставай т̵̶̹̩̩̰̹ͪ̐̆̉̂͋ͨ͟͞е̯̑̎͒́͡с̵̹̭̮̰̩̭̦̀ͦ͂̆ͤͯͬь̷̮̱̫̥ͩͦ̉̐ͮͬͣͪ͒ͪ̀͟͜ в курсе событий вм ѐ̶̢̨͚̲̼̯̎̿͘͘ͅ_̢̩͉͈͈̣̩̳̰̳̰̜̀ͤ̉ͭ̐̽̿́̔̿̄ͫͬ͐̉ͯ̑ сте с н͉̞̬̱̲̣̱͙̖̙͂̀̈́̅̒̈ͪ͌̆͛͌̀̑̐̃͢͟͜͜͟͠ͅ_̶̴̧̩͈͔̞͚̖ͤͦ͟͢͠а̸̢̬͉͎̟̝̺̿̀ͩ͂́ͧ̉ͬ̉͋̒м̸̶̶̶̧̡̜͕͔̳̪̥̺̯̲̫̑̓͂̾́ͦ́͋̋̈̿́̈́̐ͥ̕͜͠͠͡и̴̸̷̷̸̧̛̺̪̰̘̮͉̝̬̥͙͕͈̽ͯ̈́̃̏̄̓̀̈́ͧͦ͂ͮ̅ͯ̋́̾̈́̋̿́̚͢͟ͅ н͉̞̬̱̲̣̱͙̖̙͂̀̈́̅̒̈ͪ͌̆͛͌̀̑̐̃͢͟͜͜͟͠ͅ_̶̴̧̩͈͔̞͚̖ͤͦ͟͢͠а̸̢̬͉͎̟̝̺̿̀ͩ͂́ͧ̉ͬ̉͋̒м̸̶̶̶̧̡̜͕͔̳̪̥̺̯̲̫̑̓͂̾́ͦ́͋̋̈̿́̈́̐ͥ̕͜͠͠͡и̴̸̷̷̸̧̛̺̪̰̘̮͉̝̬̥͙͕͈̽ͯ̈́̃̏̄̓̀̈́ͧͦ͂ͮ̅ͯ̋́̾̈́̋̿́̚͢͟ͅ н͉̞̬̱̲̣̱͙̖̙͂̀̈́̅̒̈ͪ͌̆͛͌̀̑̐̃͢͟͜͜͟͠ͅ_̶̴̧̩͈͔̞͚̖ͤͦ͟͢͠а̸̢̬͉͎̟̝̺̿̀ͩ͂́ͧ̉ͬ̉͋̒м̸̶̶̶̧̡̜͕͔̳̪̥̺̯̲̫̑̓͂̾́ͦ́͋̋̈̿́̈́̐ͥ̕͜͠͠͡и̴̸̷̷̸̧̛̺̪̰̘̮͉̝̬̥͙͕͈̽ͯ̈́̃̏̄̓̀̈́ͧͦ͂ͮ̅ͯ̋́̾̈́̋̿́̚͢͟ͅ н͉̞̬̱̲̣̱͙̖̙͂̀̈́̅̒̈ͪ͌̆͛͌̀̑̐̃͢͟͜͜͟͠ͅ_̶̴̧̩͈͔̞͚̖ͤͦ͟͢͠а̸̢̬͉͎̟̝̺̿̀ͩ͂́ͧ̉ͬ̉͋̒м̸̶̶̶̧̡̜͕͔̳̪̥̺̯̲̫̑̓͂̾́ͦ́͋̋̈̿́̈́̐ͥ̕͜͠͠͡и̴̸̷̷̸̧̛̺̪̰̘̮͉̝̬̥͙͕͈̽ͯ̈́̃̏̄̓̀̈́ͧͦ͂ͮ̅ͯ̋́̾̈́̋̿́̚͢͟ͅ н͉̞̬̱̲̣̱͙̖̙͂̀̈́̅̒̈ͪ͌̆͛͌̀̑̐̃͢͟͜͜͟͠ͅ_̶̴̧̩͈͔̞͚̖ͤͦ͟͢͠а̸̢̬͉͎̟̝̺̿̀ͩ͂́ͧ̉ͬ̉͋̒м̸̶̶̶̧̡̜͕͔̳̪̥̺̯̲̫̑̓͂̾́ͦ́͋̋̈̿́̈́̐ͥ̕͜͠͠͡и̴̸̷̷̸̧̛̺̪̰̘̮͉̝̬̥͙͕͈̽ͯ̈́̃̏̄̓̀̈́ͧͦ͂ͮ̅ͯ̋́̾̈́̋̿́̚͢͟ͅ н͉̞̬̱̲̣̱͙̖̙͂̀̈́̅̒̈ͪ͌̆͛͌̀̑̐̃͢͟͜͜͟͠ͅ_̶̴̧̩͈͔̞͚̖ͤͦ͟͢͠а̸̢̬͉͎̟̝̺̿̀ͩ͂́ͧ̉ͬ̉͋̒м̸̶̶̶̧̡̜͕͔̳̪̥̺̯̲̫̑̓͂̾́ͦ́͋̋̈̿́̈́̐ͥ̕͜͠͠͡и̴̸̷̷̸̧̛̺̪̰̘̮͉̝̬̥͙͕͈̽ͯ̈́̃̏̄̓̀̈́ͧͦ͂ͮ̅ͯ̋́̾̈́̋̿́̚͢͟ͅ н͉̞̬̱̲̣̱͙̖̙͂̀̈́̅̒̈ͪ͌̆͛͌̀̑̐̃͢͟͜͜͟͠ͅ_̶̴̧̩͈͔̞͚̖ͤͦ͟͢͠а̸̢̬͉͎̟̝̺̿̀ͩ͂́ͧ̉ͬ̉͋̒м̸̶̶̶̧̡̜͕͔̳̪̥̺̯̲̫̑̓͂̾́ͦ́͋̋̈̿́̈́̐ͥ̕͜͠͠͡и̴̸̷̷̸̧̛̺̪̰̘̮͉̝̬̥͙͕͈̽ͯ̈́̃̏̄̓̀̈́ͧͦ͂ͮ̅ͯ̋́̾̈́̋̿́̚͢͟ͅ н͉̞̬̱̲̣̱͙̖̙͂̀̈́̅̒̈ͪ͌̆͛͌̀̑̐̃͢͟͜͜͟͠ͅ_̶̴̧̩͈͔̞͚̖ͤͦ͟͢͠а̸̢̬͉͎̟̝̺̿̀ͩ͂́ͧ̉ͬ̉͋̒м̸̶̶̶̧̡̜͕͔̳̪̥̺̯̲̫̑̓͂̾́ͦ́͋̋̈̿́̈́̐ͥ̕͜͠͠͡и̴̸̷̷̸̧̛̺̪̰̘̮͉̝̬̥͙͕͈̽ͯ̈́̃̏̄̓̀̈́ͧͦ͂ͮ̅ͯ̋́̾̈́̋̿́̚͢͟ͅ
₳ⱠⱠ ɎØɄⱤ ł₥₱ØⱤ₮₳₦₮ ₣łⱠɆ₴ ₳ⱤɆ ₴₮ØⱠɆ₦ ₳₦Đ Ɇ₦₵ⱤɎ₱₮ɆĐ! ɎØɄ ₥Ʉ₴₮ ₣ł₦Đ Ɇ₣₲₴₣Ɇ₲₳₩Ɽ₣.ⱤɆ₳Đ₥Ɇ.₮Ӿ₮ ₣łⱠɆ ₳₦Đ ₣ØⱠⱠØ₩ ₮ⱧɆ ł₦₴₮ⱤɄ₵₮łØ₦! ₳ⱠⱠ ɎØɄⱤ ł₥₱ØⱤ₮₳₦₮ ₣łⱠɆ₴ ₳ⱤɆ ₴₮ØⱠɆ₦ ₳₦Đ Ɇ₦₵ⱤɎ₱₮ɆĐ! ɎØɄ ₥Ʉ₴₮ ₣ł₦Đ Ɇ₣₲₴₣Ɇ₲₳₩Ɽ₣.ⱤɆ₳Đ₥Ɇ.₮Ӿ₮ ₣łⱠɆ ₳₦Đ ₣ØⱠⱠØ₩ ₮ⱧɆ ł₦₴₮ⱤɄ₵₮łØ₦! ₳ⱠⱠ ɎØɄⱤ ł₥₱ØⱤ₮₳₦₮ ₣łⱠɆ₴ ₳ⱤɆ ₴₮ØⱠɆ₦ ₳₦Đ Ɇ₦₵ⱤɎ₱₮ɆĐ! ɎØɄ ₥Ʉ₴₮ ₣ł₦Đ Ɇ₣₲₴₣Ɇ₲₳₩Ɽ₣.ⱤɆ₳Đ₥Ɇ.₮Ӿ₮ ₣łⱠɆ ₳₦Đ ₣ØⱠⱠØ₩ ₮ⱧɆ ł₦₴₮ⱤɄ₵₮łØ₦! ₳ⱠⱠ ɎØɄⱤ ł₥₱ØⱤ₮₳₦₮ ₣łⱠɆ₴ ₳ⱤɆ ₴₮ØⱠɆ₦ ₳₦Đ Ɇ₦₵ⱤɎ₱₮ɆĐ! ɎØɄ ₥Ʉ₴₮ ₣ł₦Đ Ɇ₣₲₴₣Ɇ₲₳₩Ɽ₣.ⱤɆ₳Đ₥Ɇ.₮Ӿ₮ ₣łⱠɆ ₳₦Đ ₣ØⱠⱠØ₩ ₮ⱧɆ ł₦₴₮ⱤɄ₵₮łØ₦! All your important files are stolen and encrypted! You must find efgSFegaWrf.README.txt file and follow the instruction! All your important files are stolen and encrypted! You must find efgSFegaWrf.README.txt file and follow the instruction! All your important files are stolen and encrypted!
Исследование провел
  • Эмиль Байрамов
    TI ( Threat Intelligence)-аналитик отдела мониторинга и оперативного реагирования компании "АйТи Новация"