vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
Последние несколько лет программы-вымогатели неизменно занимают место в топе угроз в отчетах вендоров, посвященных актуальному для России и стран СНГ ландшафту киберугроз. По данным Positive Technologies в 2024 и 2025 году каждая третья успешная атака с использованием вредоносного ПО приходилась на атаку с использованием вымогателя-шифровальщика. Согласно прогнозам подобная тенденция сохранится и в 2026 году, а значит тема реагирования на такие угрозы актуальна как никогда.
- Наименее опасны, так как блокировку можно обойти.
- Иногда уничтожение данных происходит из-за ошибок в коде вредоноса, но чаще — умышленно, чтобы навредить бизнесу.
- Без дешифратора восстановить данные невозможно.
- Некоторые варианты ВПО шифруют загрузочную запись (MBR), из-за чего система не запускается.
В подавляющем большинстве атак используются именно шифровальщики. Злоумышленники применяют эту разновидность вредоносных программ, чтобы получить деньги путем цифрового вымогательства: жертве нужен специальный дешифратор, позволяющий восстановить зашифрованные файлы. Для его получения необходимо заплатить выкуп злоумышленникам, так как ключом владеют только атакующие.
С развитием технологий и появлением криптовалюты в 2010-х у злоумышленников появилась возможность монетизировать атаки, сохраняя при этом свою анонимность.
Примерно с 2013 года, стала набирать популярность тактика вымогательства, которая называется Spray and Pray, заключающаяся в распространении вымогательского ПО на как можно большее количество рядовых, никак не связанных между собой пользователей. Такой подход к вымогательству потерял свою актуальность, так как одинаковые небольшие выкупы с тысяч жертв требовали огромного охвата для существенной прибыли.
Начиная с 2016 года атаки с программами вымогателями эволюционировали в форму, которая доминирует и сегодня. Преступники отошли от спамерского вредоносного ПО и тактики Spray and Pray и перешли к стратегии Big Game Hunting (BGH) — целенаправленным атакам на крупные организации с высоким финансовым потенциалом для уплаты выкупа. При такой стратегии у злоумышленников появилось больше рычагов давления на жертву и, соответственно, появилась возможность требовать значительно большие выкупы.
Сегодня атаки часто проводят организованные группировки (Organized Criminal Group, OCG), преследующие разные мотивы. Но помимо членов той или иной группировки в атаке косвенным образом задействованы множество других лиц.
Можно выделить 4 ведущие роли в организации и проведении атак с вымогательским ПО:
Бизнес-модель взаимодействия между операторами вредоносного ПО и аффилированными лицами называется Ransomware-as-a-Service, она приобрела популярность с 2019 года. Данная модель работает по схеме легального сервиса, у которого существуют различные варианты подписок (единовременная выплата, выплата процента от выкупа, ежемесячная подписка). Кроме аренды ВПО, аффилиатам может предоставляться ряд услуг:
Такое развитие индустрии кибервымогательства привело к взрывному росту количества атак. Теперь для проведения сложной кампании злоумышленникам стали не нужны специальные технические навыки, достаточно финансовых средств и доступа в даркнет, ставший площадкой для развития этого нелегального бизнеса.
Помимо RaaS, злоумышленники часто используют утекшее в открытый доступ вредоносное ПО (например, LockBit, Babuk, Conti), что позволяет даже неопытным хакерам успешно реализовывать атаки без навыков разработки.
В контексте атак вида «Spray and Pray» чаще всего используются:
В случае целевых атак топ векторов первоначального доступа состоит из таких методов, как:
После получения доступа злоумышленники готовятся к развёртыванию программы-вымогателя:
К сожалению, обнаружение атаки чаще всего происходит постфактум конечными пользователями, когда на зараженном хосте появляется сообщение о требовании выкупа, а пользовательские файлы более недоступны.
На рисунке ниже представлена наглядная упрощенная схема заражения целевой системы программой-вымогателем. Для более качественного понимания жизненного цикла такой атаки можно ознакомиться с Unified Ransomware Kill Chain. Тактики и техники в терминах MITRE ATT&CK наиболее подробно рассматриваются в тематических отчетах крупных вендоров.
Кого выбирают злоумышленники? Может создастся ощущение, что идеальная жертва для финансово мотивированной атаки с вирусом-вымогателем — это та, которая обладает достаточным бюджетом, для уплаты большого выкупа. Например, в 2024 году для бизнеса разных размеров требования о выкупе составляли:
Хоть такой фактор, как масштаб и ресурсы компании, важен для злоумышленников, он отнюдь не становится решающим в вопросе выбора организации для атаки. Примечательно, что в основном выбор атаковать ту или иную компанию зависит, главным образом, от существующих возможностей получить доступ к ее инфраструктуре.
Хактивисты зачастую не являются «профессиональными хакерами», используют публично-доступные вредоносные инструменты, в отличие от кибершпионов, но тем не менее их атаки могут быть разрушительными.
Разрушительность подобных атак обусловлена следующими факторами:
- хактивисты часто реально уничтожают данные жертвы, не оставляя возможности их восстановить даже за выкуп.
- в последние несколько лет стала приживаться практика объединения хактивистских группировок в альянсы, что позволяет злоумышленникам обмениваться опытом, объединять интеллектуальные и технические силы и ресурсы, а также расширять охват целевых атакуемых организаций.
В настоящее время в регионе стран СНГ и в России наиболее активно действуют хактивисткие группировки, среди них примерно 7% шифруют данные жертв (по данным Positive Technologies).
Чтобы усилить давление, преступники стали применять многофакторный шантаж (в зарубежных источниках — multi-extortion). При многофакторной модели вымогательства у злоумышленника есть несколько средств в арсенале запугивания и шантажа. Разберем схемы вымогательства.
1. Простое вымогательство
Классическая схема. Криптовирус шифрует файлы, а злоумышленники требуют деньги за дешифратор.
2. Двойное вымогательство
Преступники не только шифруют данные, но и угрожают их утечкой в открытый доступ. Перед этапом развёртывания вируса-вымогателя атакующие собирают и перемещают конфиденциальные данные в собственные хранилища. Жертва шантажируется угрозами публикации информации на открытых теневых ресурсах злоумышленников – их сайтах утечек (Data Leak Site, DLS).
Первыми такой метод использовали хакерские группировки Maze и DoppelPaymer.
3. Тройное вымогательство
Если жертва отказывается платить выкуп даже после угрозы раскрытия информации, злоумышленники могут перейти к шантажу доступностью сервисов компании-жертвы. Жертве будут угрожать организацией DDoS-атаки против ее компании, чтобы сделать сайт или внутренние системы недоступными. Такое воздействие влечет финансовые потери и удар по репутации компании-жертвы.
Подобный подход применяли операторы AvosLocker.
4. Четырёхфакторное вымогательство
Чтобы увеличить давление на жертву, в ход идет шантаж партнеров и клиентов компании-жертвы. Преступники рассылают информацию об утечке, требуют выкуп уже не только от компании, но и от ее контрагентов.
Так действовали группы REvil и AvosLocker.
Есть несколько основных причин, почему платить выкуп не стоит.
1. Нет гарантии восстановления данных
Даже если вы заплатите, злоумышленники могут:
2. Риск повторных атак
Весь теневой бизнес кибервымогательства живет за счет средств, полученных от выкупов. Каждая выплата поддерживает киберпреступность:
В конечном счете решение о выплате выкупа остается за организацией, но важно полностью осознавать риски. Компаниям, решившимся заплатить выкуп, рекомендуется:
В качестве выкупа злоумышленники чаще всего требуют криптовалюту, поскольку операции с криптовалютой позволяют им сохранить свою анонимность:
Жертва или привлеченные эксперты связываются с преступниками и могут попытаться договориться о снижении требуемой суммы.
2. Покупка криптовалюты.
Фиатную валюту (рубли, доллары и т. д.) обменивают на нужную криптовалюту через обменник или биржу.
3. Перевод выкупа
Затем жертва или ее представитель переводят требуемую сумму криптовалюты со своего криптокошелька на указанный преступниками адрес, которым обычно выступает:
Такая схема обеспечивает преступникам высокий уровень анонимности и быстрый доступ к средствам, поскольку некастодиальные кошельки невозможно заблокировать, а зарубежные биржи игнорируют запросы сторонних правоохранительных органов о заморозке средств, что значительно осложняет отслеживание и возврат украденных денег.
Источник
О программах-вымогателях
Программа-вымогатель - это вредоносное ПО, которое блокирует доступ к системе или файлам до тех пор, пока жертва не заплатит выкуп. Блокировка доступа к системе может происходить по-разному, в зависимости от вида атаковавшего ВПО.- Блокировщики:
- Наименее опасны, так как блокировку можно обойти.
- Вайперы:
- Иногда уничтожение данных происходит из-за ошибок в коде вредоноса, но чаще — умышленно, чтобы навредить бизнесу.
- Шифровальщики:
- Без дешифратора восстановить данные невозможно.
- Некоторые варианты ВПО шифруют загрузочную запись (MBR), из-за чего система не запускается.
В подавляющем большинстве атак используются именно шифровальщики. Злоумышленники применяют эту разновидность вредоносных программ, чтобы получить деньги путем цифрового вымогательства: жертве нужен специальный дешифратор, позволяющий восстановить зашифрованные файлы. Для его получения необходимо заплатить выкуп злоумышленникам, так как ключом владеют только атакующие.
Начало эры вымогателей и наши дни
Первой атакой с использованием программы-вымогателя принято считать несколько случаев заражения компьютеров трояном AIDS, использовавшим симметричное шифрование, в конце 1980-х. Тогда вредонос распространялся с помощью дискет, якобы содержащих информацию по борьбе со СПИДом. Преступники требовали от жертв отправки выкупа почтовым переводом, чтобы восстановить доступ к своим данным.С развитием технологий и появлением криптовалюты в 2010-х у злоумышленников появилась возможность монетизировать атаки, сохраняя при этом свою анонимность.
Примерно с 2013 года, стала набирать популярность тактика вымогательства, которая называется Spray and Pray, заключающаяся в распространении вымогательского ПО на как можно большее количество рядовых, никак не связанных между собой пользователей. Такой подход к вымогательству потерял свою актуальность, так как одинаковые небольшие выкупы с тысяч жертв требовали огромного охвата для существенной прибыли.
Начиная с 2016 года атаки с программами вымогателями эволюционировали в форму, которая доминирует и сегодня. Преступники отошли от спамерского вредоносного ПО и тактики Spray and Pray и перешли к стратегии Big Game Hunting (BGH) — целенаправленным атакам на крупные организации с высоким финансовым потенциалом для уплаты выкупа. При такой стратегии у злоумышленников появилось больше рычагов давления на жертву и, соответственно, появилась возможность требовать значительно большие выкупы.
Сегодня атаки часто проводят организованные группировки (Organized Criminal Group, OCG), преследующие разные мотивы. Но помимо членов той или иной группировки в атаке косвенным образом задействованы множество других лиц.
Можно выделить 4 ведущие роли в организации и проведении атак с вымогательским ПО:
- Операторы программ-вымогателей (Ransomware-as-a-Service (RaaS) Providers) разрабатывают и продают вредоносное ПО, предоставляют техническую поддержку своим клиентам, «помощь» в переговорах с жертвой, управляют сайтами утечки данных (Data LeakSite, DLS), на которых публикуется информация об атаках и сами украденные данные.
- Аффилированные лица (Ransomware Affiliates) планируют и проводят атаки, используя арендованное или купленное ВПО, разработанное и поддерживаемое RaaS-операторами, выбирают компанию-жертву, устанавливают требования выкупа, ведут переговоры с жертвой, управляют дешифраторами. Партнеры тщательно отбираются операторами, чтобы отсеять специалистов-исследователей, а также сотрудников спецслужб. Кроме того, на аффилированных лиц могут накладываться географические ограничения: операторы часто запрещают аффилиатам использовать вредоносное ПО на территории страны, в зоне юрисдикции которой расположены сами.
- Брокеры первоначального доступа (Initial Access Brokers, IABs) проникают в сеть жертвы, закрепляются в ней и продают доступ к скомпрометированным системам другим злоумышленникам через теневые площадки.
- Поставщики криптовалютных услуг обменивают, продают или передают криптовалюту. В схеме с выкупом жертва, получив инструкции злоумышленников, переводит деньги такому поставщику для покупки и перевода указанной криптовалюты.
Бизнес-модель взаимодействия между операторами вредоносного ПО и аффилированными лицами называется Ransomware-as-a-Service, она приобрела популярность с 2019 года. Данная модель работает по схеме легального сервиса, у которого существуют различные варианты подписок (единовременная выплата, выплата процента от выкупа, ежемесячная подписка). Кроме аренды ВПО, аффилиатам может предоставляться ряд услуг:
- шантаж жертвы,
- проведение переговоров с организациями-жертвами,
- покупка доступа к организации с последующей атакой на неё.
Такое развитие индустрии кибервымогательства привело к взрывному росту количества атак. Теперь для проведения сложной кампании злоумышленникам стали не нужны специальные технические навыки, достаточно финансовых средств и доступа в даркнет, ставший площадкой для развития этого нелегального бизнеса.
Помимо RaaS, злоумышленники часто используют утекшее в открытый доступ вредоносное ПО (например, LockBit, Babuk, Conti), что позволяет даже неопытным хакерам успешно реализовывать атаки без навыков разработки.
Как работают программы-вымогатели
Как программа-вымогатель попадает на целевое устройство? Начальные векторы атак различаются, в зависимости от характера атаки.В контексте атак вида «Spray and Pray» чаще всего используются:
- Пиратское ПО – нелицензионные программы могут содержать вирусы.
- Поддельные сайты – мошенники создают фальшивые страницы, продвигают их через рекламу или манипулируют поисковой выдачей.
В случае целевых атак топ векторов первоначального доступа состоит из таких методов, как:
- Целевой фишинг – почтовые рассылки содержат вредоносные вложения или фишинговые ссылки, предназначенные специально для атакуемой компании и направленные на конкретных сотрудников.
- Эксплуатация уязвимостей публично доступных служб и приложений – использование незакрытых уязвимостей в веб-приложениях, систем удаленного доступа, приложениях корпоративных бизнес-систем доступных из интернета на периметре компании.
- Эксплуатация скомпрометированных легитимных учетных данных при подключении через публично-доступные RDP сервера – скомпрометированные доступы могут быть куплены злоумышленниками у брокеров первоначального доступа. Для компрометации учетных данных применяется брутфорс, но также используются стилеры и трояны-загрузчики.
После получения доступа злоумышленники готовятся к развёртыванию программы-вымогателя:
- Для планирования развития атаки злоумышленники попытаются исследовать скомпрометированную инфраструктуру, получить информацию об учетных записях, группах, компьютерах, подсетях и доменах, серверах резервного копирования и других критически важных активах, а также об актуальных для этой конкретной информационной системы уязвимостях.
- Также атакующие будут пытаться повысить свои права и привилегии в системе, чтобы обеспечить себе возможность дальнейшего продвижения по сети и обхода средств защиты.
- Немаловажно для атакующих обеспечить резервный канал доступа к целевой системе, то есть закрепиться в ней, чтобы продолжить развивать атаку даже после перезагрузки хостов или попыток удаления вредоносного ПО, установленного на предыдущих этапах, а также установить канал связи с C2-сервером (Command and Control), используемым для удаленного управления зараженной системой и координации действий.
- Злоумышленники также предпримут попытки по отключению средств защиты, чтобы предотвратить обнаружение их активности.
К сожалению, обнаружение атаки чаще всего происходит постфактум конечными пользователями, когда на зараженном хосте появляется сообщение о требовании выкупа, а пользовательские файлы более недоступны.
На рисунке ниже представлена наглядная упрощенная схема заражения целевой системы программой-вымогателем. Для более качественного понимания жизненного цикла такой атаки можно ознакомиться с Unified Ransomware Kill Chain. Тактики и техники в терминах MITRE ATT&CK наиболее подробно рассматриваются в тематических отчетах крупных вендоров.
Кто атакует?
Финансово-мотивированные группировки
В предыдущем разделе мы говорили об организованной киберпреступности. Действительно, большинство атак с использованием программ-вымогателей проводят финансово-мотивированные преступные группировки. Их главная цель — деньги.Кого выбирают злоумышленники? Может создастся ощущение, что идеальная жертва для финансово мотивированной атаки с вирусом-вымогателем — это та, которая обладает достаточным бюджетом, для уплаты большого выкупа. Например, в 2024 году для бизнеса разных размеров требования о выкупе составляли:
- Малый бизнес: выкуп от 100 тыс. до 5 млн рублей.
- Средний и крупный бизнес: выкуп от 5 млн до 321 млн рублей.
Хоть такой фактор, как масштаб и ресурсы компании, важен для злоумышленников, он отнюдь не становится решающим в вопросе выбора организации для атаки. Примечательно, что в основном выбор атаковать ту или иную компанию зависит, главным образом, от существующих возможностей получить доступ к ее инфраструктуре.
Политически мотивированные атаки
В последние годы таких атак становится больше. Их цель — не деньги, а шпионаж или диверсии.- Кибершпионаж
- Правительственные учреждения.
- Критическая инфраструктура.
- Военные и оборонные объекты.
- Наукоемкие компании
- Включают себя несколько этапов и совершаются с применением продвинутого технического инструментария, также называемого APT .
- Продолжительные, злоумышленники остаются незамеченными в сети длительное время.
- Хорошо финансируются.
- Являются постоянной угрозой, которой сложно противостоять и которую сложно полностью устранить, так как обычно членами таких группировок являются государственные служащие.
2. Диверсии и хактивизм
- Украсть данные.
- Нарушить работу важных и критичных организаций и подорвать их авторитет.
- Дестабилизировать ситуацию в стране.
Хактивисты зачастую не являются «профессиональными хакерами», используют публично-доступные вредоносные инструменты, в отличие от кибершпионов, но тем не менее их атаки могут быть разрушительными.
Разрушительность подобных атак обусловлена следующими факторами:
- хактивисты часто реально уничтожают данные жертвы, не оставляя возможности их восстановить даже за выкуп.
- в последние несколько лет стала приживаться практика объединения хактивистских группировок в альянсы, что позволяет злоумышленникам обмениваться опытом, объединять интеллектуальные и технические силы и ресурсы, а также расширять охват целевых атакуемых организаций.
В настоящее время в регионе стран СНГ и в России наиболее активно действуют хактивисткие группировки, среди них примерно 7% шифруют данные жертв (по данным Positive Technologies).
Многофакторный шантаж: как преступники вымогают деньги
Киберпреступники-вымогатели следуют одной и той же схеме: шифруют файлы взломанных организаций и требуют выкуп в обмен на восстановление доступа. Однако многие компании отказываются платить, особенно если у них есть резервные копии данных.Чтобы усилить давление, преступники стали применять многофакторный шантаж (в зарубежных источниках — multi-extortion). При многофакторной модели вымогательства у злоумышленника есть несколько средств в арсенале запугивания и шантажа. Разберем схемы вымогательства.
1. Простое вымогательство
Классическая схема. Криптовирус шифрует файлы, а злоумышленники требуют деньги за дешифратор.
2. Двойное вымогательство
Преступники не только шифруют данные, но и угрожают их утечкой в открытый доступ. Перед этапом развёртывания вируса-вымогателя атакующие собирают и перемещают конфиденциальные данные в собственные хранилища. Жертва шантажируется угрозами публикации информации на открытых теневых ресурсах злоумышленников – их сайтах утечек (Data Leak Site, DLS).
Первыми такой метод использовали хакерские группировки Maze и DoppelPaymer.
3. Тройное вымогательство
Если жертва отказывается платить выкуп даже после угрозы раскрытия информации, злоумышленники могут перейти к шантажу доступностью сервисов компании-жертвы. Жертве будут угрожать организацией DDoS-атаки против ее компании, чтобы сделать сайт или внутренние системы недоступными. Такое воздействие влечет финансовые потери и удар по репутации компании-жертвы.
Подобный подход применяли операторы AvosLocker.
4. Четырёхфакторное вымогательство
Чтобы увеличить давление на жертву, в ход идет шантаж партнеров и клиентов компании-жертвы. Преступники рассылают информацию об утечке, требуют выкуп уже не только от компании, но и от ее контрагентов.
Так действовали группы REvil и AvosLocker.
Стоит ли платить выкуп?
Став жертвой атаки программ-вымогателей, организации-жертвы сталкиваются с выбором: платить или не платить выкуп.Есть несколько основных причин, почему платить выкуп не стоит.
1. Нет гарантии восстановления данных
Даже если вы заплатите, злоумышленники могут:
- Не расшифровать файлы (например, если на самом деле использовался вредонос-вайпер).
- Прислать нерабочий дешифратор.
2. Риск повторных атак
- Атакующие могут не остановиться на достигнутом и через какое-то время вернуться и начать действовать по схеме «двойного», «тройного» и т.д. вымогательства и потребовать новый выкуп, например, за «предоставление гарантии» неразглашения украденной информации.
- Преступники, ранее атаковавшие или другие, смогут вернуться и атаковать инфраструктуру снова, если в компании не будут приняты меры по улучшению и исправлению ситуации с информационной безопасностью и ее процессами.
Весь теневой бизнес кибервымогательства живет за счет средств, полученных от выкупов. Каждая выплата поддерживает киберпреступность:
- Разрабатывается новое вредоносное ПО, развивается инфраструктура злоумышленников.
- Совершенствуются старые методы атак.
- Преступники становятся сильнее.
В конечном счете решение о выплате выкупа остается за организацией, но важно полностью осознавать риски. Компаниям, решившимся заплатить выкуп, рекомендуется:
- Привлечь экспертов для переговоров со злоумышленниками.
- Потребовать доказательства работоспособности дешифратора перед оплатой.
- Расследовать атаку, чтобы определить причинно-следственные связи и понять слабые места в инфраструктуре.
Как происходит выплата выкупа?
После успешно завершенной ransomware-атаки жертва остается со своими зашифрованными данными и сообщением о выкупе, содержащем сумму, которую необходимо заплатить преступникам, срок оплаты и контакты для связи.В качестве выкупа злоумышленники чаще всего требуют криптовалюту, поскольку операции с криптовалютой позволяют им сохранить свою анонимность:
- Криптовалюта работает на основе децентрализованных блокчейн-сетей, где транзакции осуществляются напрямую между участниками и без посредников в виде банка или других финансовых организаций.
- Транзакции записываются в блокчейн, но связаны только с адресами кошельков, а не с личными данными злоумышленников.
Как устроен процесс выплаты?
1. Переговоры.Жертва или привлеченные эксперты связываются с преступниками и могут попытаться договориться о снижении требуемой суммы.
2. Покупка криптовалюты.
Фиатную валюту (рубли, доллары и т. д.) обменивают на нужную криптовалюту через обменник или биржу.
3. Перевод выкупа
Затем жертва или ее представитель переводят требуемую сумму криптовалюты со своего криптокошелька на указанный преступниками адрес, которым обычно выступает:
- либо адрес анонимного личного криптокошелька злоумышленников (некастодиальный кошелек, т.е. не требующий идентификации и полностью контролируемый злоумышленниками)
- либо счет на зарубежной платформе, намеренно выбранной из-за отсутствия сотрудничества с правоохранительными органами страны компании-жертвы.
Такая схема обеспечивает преступникам высокий уровень анонимности и быстрый доступ к средствам, поскольку некастодиальные кошельки невозможно заблокировать, а зарубежные биржи игнорируют запросы сторонних правоохранительных органов о заморозке средств, что значительно осложняет отслеживание и возврат украденных денег.
Как злоумышленники легализуют свой доход?
Чтобы легализовать доходы и скрыть их преступное происхождение, злоумышленники применяют комплекс методов, часто последовательно:- Peeling Chain — множественные быстрые переводы между своими же кошельками для создания сложной цепочки.
- Криптомиксеры — сервисы, смешивающие транзакции разных пользователей.
- Chain Hopping — отмывание криптовалютных средств путем перемещения их между разными блокчейнами.
Заключение
Из всего вышесказанного можно выделить несколько ключевых тезисов, которые будут полезны каждому, кто отвечает за безопасность организации:- Шифровальщики являются самым популярным способ вымогательства благодаря своей эффективности: жертвы, опасаясь безвозвратной потери данных, часто соглашаются платить выкуп.
- Постепенно злоумышленники ушли от массовых атак на простых пользователей и сместили свой фокус на бизнес.
- Современные атаки организуются и проводятся преступными группировками, которые могут отдавать на аутсорс некоторые из своих задач, обращаясь к другим злоумышленникам.
- Характер атаки зависит от мотивации злоумышленников. Чаще всего шифровальщики используют хактивисты и финансово-мотивированные группировки.
- Развитие модели Ransomware-as-a-Service привело к резкому росту количества атак.
- Злоумышленники часто используют комбинацию различных методов давления на жертву, чтобы увеличить вероятность выплаты выкупа, то есть применяют многофакторное вымогательство.
- Выплата выкупа не гарантирует восстановления поврежденных или зашифрованных данных.
Источник
