Знакомый владелец небольшой фирмы столкнулся с проблемой вируса-шифровальщика. В связи с этими три-трижды проклятыми локдаунами пришлось перевести половину персонала на удаленку. А где удаленка, там и RDP, будь он неладен (а в плане безопасности он именно, что неладен). В общем, в локальную сеть проник вирус-шифровальщик (который crylock 2.0.0.0 - LoganParker@techmail.info) и повредил немало важных файлов.
На текущий момент к crylock 2.0.0.0 ключей расшифровки не утекало, поэтому было принято решение таки заплатить вымогателям. По всей видимости, это было ошибкой.
1) Связались по почте с вымогателем. Уточнили требования по сумме и адрес bitcoin кошелька. Убедились в его способности расшифровать файлы (он расшифровал тестовый документ).
2) Через Binance купили биток и через withdrawal перевели нужную сумму на адрес мошенника.
Hint: в любом случае этого нельзя делать, т.к. withdrawal происходит с единого биткоин-кошелька Binance и вы никак не сможете подтвердить, что это именно вы переводили эту сумму.
3) Мошенник сделал хлебало кирпичом и стал утверждать, что это кто-то другой перевёл средства, так что плотите еще раз.
4) Опять купили на Binance биток, скинули его на холодный кошелек и уже с него перевели биток вражине.
5) Получили от мошенника некий файл под названием "Search keys 3.0.exe". Что он делает - хрен его поймёт. Вроде как ищет зашифрованные файлы и ключи их шифрования. На выходе будет сгенерирован некий файл, который надо отправить вымогателю. Файл сгенерили и отправили.
6) Мошенник пропал с радаров примерно на неделю, после чего потребовал еще треть суммы сверху за ключ расшифровки.
7) Повторили пункт 4.
8) Тишина...
По всей видимости нет никакого резона платить вымогателям - только зря время и деньги потеряете. Даже имея ключ расшифровки они вам его не пришлют, а будут только деньги тянуть.
P.S.: админа, что высунул RDP наружу без VPN - уволить, ну или как минимум депремировать на удесятеренную сумму выкупа.
