Южнокорейская фирма выплачивает 1 млн долларов для восстановления данных

Южнокорейская веб-хостинговая компания выплачивает более 1 млн долларов США в биткоине вымогателям, чтобы положить конец кризису выкупа, затрагивающему почти 3500 клиентов.

Южнокорейская веб-хостинговая фирма Nayana выплачивает злоумышленнику 397,6 BTC (около 1,05 миллиона долларов США), чтобы восстановить данные веб-сайтов, принадлежащих более 3400 клиентов, большинство из которых являются представителями малого бизнеса.

Вирус заразил в общей сложности 153 сервера Linux вместе с веб-сайтами клиентов. Согласно Trend Micro, штамп ransomware способен заражать до 433 типов файлов, включая офисные документы, базы данных, архивы и мультимедийные файлы. Более тщательный анализ исследователями показал, что выкупная программа должна быть специально кодирована для таргетинга и шифрования веб-серверов и их данных.

В уведомлении, опубликованном 12 июня, Найана рассказала подробности первоначальной записи о выкупе, которая потребовала беспрецедентных 550 биткоинов (1,6 млн. Долларов в то время).

«Мой босс сказал мне, что вы покупаете много машин, дайте и нам хорошую цену, 550 BTC. Если у вас недостаточно денег, возьмите в кредит», — написал вымогатель в своем первоначальном сообщении.

Последующая угроза гласит:

«У вас есть 40 сотрудников,

Годовой оклад каждого сотрудника в размере 30 000 долларов США

Все сотрудники 30 000 * 40 = 1 200 000

Весь сервер 550BTC = $ 1,620,000

Если вы не можете это заплатить, то должны обанкротиться.

Но вам нужно встретиться с вашими детьми, женой, клиентами и сотрудниками.

Также ваша потеря испортит вашу репутацию, бизнес.

У вас будет еще много судебных процессов».

14 июня Nayana опубликовала обновленную информацию, в которой рассказывала о переговорах генерального директора Hwang Chil-hong с хакерами. Исполнительная власть показала, что он столкнулся с финансовым крахом и договорился о выкупе в размере 397,6 BTC, выплачиваемом тремя партиями. До сих пор уже были оплачены два платежа.

Исследователи Trend Micro указывают на использование устаревших систем Nayana — ядра Linux 2008 года, версий Apache и PHP с 2006 года в качестве факторов, лежащих в основе захвата ransomware.

«Стоит отметить, что эта выкупленная система ограничена по охвату и, по сути, сильно сконцентрирована в Южной Корее», — пишут исследователи.

Последнее обновление Nayana от 20 июня (вторник) показывает, что в настоящее время программа дешифрования займет около 2-5 дней для восстановления файлов клиентов, в то время как некоторые серверы, как ожидается, займут более 10 дней. Ожидается, что третий платеж будет сделан сегодня, в среду, после получения дополнительного ключа дешифрования.