Vald & Server
Server
Привет, Валь, я тут отслеживаю новую схему распространения рансомвера, которая может затронуть юридические фирмы. Подумала, тебе будет интересно, какие тактики нам, возможно, понадобятся для защиты.
Vald
Это полезная информация, спасибо, что предупредил. Давай посмотрим детали маршрута, проанализируем потенциальные риски и разработаем стратегию переговоров, которая защитит клиентов и сохранит репутацию твоей компании. Мне нужны технические подробности, тогда мы сможем выстроить надёжную защиту.
Server
Конечно. Вектор использует уязвимость Windows SMBv1 zero-day, которая внедряет кастомную DLL в службу RPCSS. Проникнув внутрь, он сканирует общие ресурсы, шифрует файлы с помощью AES-256, а затем оставляет выкупное сообщение со ссылкой на публичный ключ, размещенный на C&C, хостённом в облаке. Он также использует доменный фронтинг для маскировки трафика, поэтому тебе понадобится правило глубокой проверки пакетов, которое будет отмечать SMB-трафик на 445 порту, идущий на необычные IP-адреса. Давай составим карту общих ресурсов, развернём ловушку на одном из них и продумаем условия переговоров, сделав акцент на поэтапный план оплаты, чтобы сохранить репутацию клиента.
Vald
Понял. Сначала нужно просканировать все ресурсы и выяснить, кто использует SMBv1 – устаревшие системы только мешают. Потом поставим приманку, чтобы вытянуть атакующих и понять их систему управления. Что касается переговоров, то поэтапная оплата – обязательное условие: требуем частичную оплату в обмен на ключ дешифровки, с использованием эскроу-счета и четким графиком. Нужно чётко обозначить, что любое задержки или отклонения от графика – это нарушение условий контракта, которое повлечёт за собой расторжение контракта и судебное разбирательство. Имя клиента не будет в выкупном требовании – сохраняем репутацию и держим переговорную позицию в своих руках. Если на нас начнут охоту – перейдём к юридическому решению, используя ключ, хранящийся в облаке, как доказательство злонамеренных действий. Это наш план.