ГЛАВНЫЙ ПРИЗНАК ТОГО, ЧТО ВАС ЗАШИФРОВАЛИ

Представьте утро: бухгалтер не может зайти в базу, почта не открывается, сервер «лежит». Первая мысль — техсбой.
«Наверное, жесткий диск посыпался» или «опять провайдер чудит».

Но есть один симптом, который не спутать ни с одной поломкой железа.

Ультиматум на рабочем столе
Главный признак реального взлома с шифрованием — это требование выкупа (Ransom Note).

Если сервер просто сломался, он молчит. Если его взломали, он начинает с вами «разговаривать». Обычно это текстовый файл .txt или картинка, которая заменяет ваши обои на рабочем столе. Такие «записки» хакеры оставляют на каждой зашифрованной машине, чтобы вы точно их заметили.

Что всегда есть в таком послании:
— Идентификатор: Ваш личный номер в системе хакеров (ID).
— Инструкция: Как скачать специальный браузер (Tor) и по какой ссылке перейти.
— Контакты: Почта или чат для связи с «поддержкой» вымогателей.

Почему этот файл важен?
Не спешите его удалять. Эта записка — важнейшая улика для расследования:
1. Кто нападает? По ID, контактам, тексту и стилю можно понять, какая группировка вас атаковала.
2. Это точно они? Записка подтверждает, что это внешняя атака, а не проделки обиженного сотрудника-инсайдера.
3. Ключ к спасению: В ней содержится инфо, которое теоретически позволяет получить ключ для расшифровки, если платить выкуп (хотя мы категорически не рекомендуем кормить мошенников — гарантий нет).

Торг уместен?
Интересный факт: в самой записке сумму выкупа почти никогда не пишут сразу. Хакеры — тоже «бизнесмены». Они сначала ждут, когда вы выйдете на связь, оценивают масштаб ваших бед, а потом называют цифру и начинают торговаться.

(!) Если записка появилась — вы уже опоздали
Нужно быть честными: если вы видите это сообщение, ваши данные уже зашифрованы или еще и украдены. Бизнес встал.
Теперь это вопрос не «как защититься», а «как быстро и дорого мы будем восстанавливаться».

Безопасностью нужно заниматься ДО того, как вы увидели записку.

Мы в 4sec помогаем не допустить этого сценария. Но если беда уже случилась:
— Поможем восстановить работу бизнеса максимально быстро.
— Проведем расследование: найдем «дыру», через которую они зашли.
— Заделаем её так, чтобы второй раз к вам не постучались и предотвратим появление новых.

Не ждите «записок» от хакеров. Начните защищаться прямо сейчас: 4security.ru
---
Ваш капитал под защитой, если вы действуете на опережение.

Исключительно для технарей, но полезное)

🔐 CISO FORUM 2026: день про безопасность
🎁 Среди участников разыграют iPhone 17 Pro

Атаки становятся сложнее и длиннее.
AI уже используют не только защитники.
Ошибки чаще происходят не в технологиях, а в архитектуре и процессах.

Форум про это.

Что в программе:
• Как сейчас строятся атаки: цепочки поставок, сложные сценарии, использование AI и разбор инцидентов 2025–2026
• Почему формальный комплаенс не работает и что с этим делать на уровне архитектуры
• Какие метрики ИБ действительно используют для диалога с бизнесом
• Управление уязвимостями: приоритизация, ошибки процессов и влияние на реальные инциденты
• Персональные данные: новые требования, практики защиты и последствия нарушений

Отдельно:
• утечки через облака, API и внутренние процессы
• риски подрядчиков и партнерского периметра
• защита API, DevSecOps и работа SOC
• применение AI и связанные с этим уязвимости

💡 Практическая часть:
воркшопы по MLSecOps, безопасность ML/LLM-систем, разбор атак и конкретных кейсов

🔒 Закрытые обсуждения для CISO
формат без записи, только участники уровня C-level
Форум про рабочие подходы и реальные решения, без теории ради теории

Зарегистрироваться можно тут.
Список участников

P.S. Мы информационный партнер и будем рады увидеться на мероприятии!

Разбираем новость: Популярные российские приложения следят за VPN пользователей?

Тут в ТГ начали много писать (раз, два, и далее) о том, что приложения российских разработчиков следят за тем, установлен ли у пользователя VPN и отправляют инфу о вашем подключении на свои серверы. Правда ли это, и чем это все грозит? Разбираемся.

1) Да, это правда, но есть нюанс. Российские приложения, которые проверяют наличие VPN, делали это задолго до того, как Роскомнадзор даже начал бороться с Телеграммом. И делали в первую очередь для своих целей — обеспечение стабильной связи, борьба с мошенничеством, накрутками и прочими подобными историями. Поэтому проверялось наличие VPN у пользователя в рамках формирования его профиля. Это в том числе было нужно, чтобы человека с VPN не блокировать лишний раз, а всякие зарубежные атаки непонятных ребят отсекать по IPшникам.

То есть раньше это делалось не для того, чтобы эти VPN вычислять и что-то с ними делать, а наоборот, чтобы лишний раз не забанить своего же пользователя.

Сейчас есть требования Минцифры, которые ограничивают доступ к приложениям для пользователей с включенным VPN, но кажется, что это требование достаточно легко обходится пользователями. По крайней мере, пока.

И вот мы смотрим на опубликованную методику выявления VPN и есть стойкое ощущение, что выполнять ее будут "для галочки". То есть операторы скажут "мы супер, мы все заблокировали, теперь к нам не зайти через VPN" — и все. Возможно, будут другие требования, но позже. Решать за РКН задачи РКН без очень сильной мотивации вряд ли кто-то готов.

2) Могут ли они передавать эти данные в РКН? Да, могут. Но передают ли? Пруфов про то, что эти сервисы будут сдавать в Роскомнадзор VPN пользователей, пока нет. Скорее, они будут не давать работать своим сервисом через VPN, просто отчитываясь перед РКН, что мы их тоже блокируем.

Вероятно, через какое-то время в России будут пытаться систематически и условно-автоматизированно блокировать конечные точки VPN. Вероятно, вендоры VPN-решений будут с этим бороться. Мы верим в них больше, чем в успех РКН.

3) Есть ли ответственность за использование VPN? Пока нет. Но тут проблема в другом — полностью заблокировать современный VPN-трафик практически невозможно, даже в условиях "белых списков", это классическая борьба брони и снаряда за огромную рыночную нишу. Можно блокировать оплату за VPN, но и здесь будут сложности.

Резюмируя: большое количество приложений как собирало, так и собирает информацию про VPN пользователей. Если вы параноите — возьмите айфон, настройте VPN на отдельные приложения, или просто купите второй телефон. Если нет — продолжайте пользоваться "как есть". Мы скорее верим, что блокировки разовьют рынок VPN-решений в России и в целом повысят техническую культуру в стране.

Макс на багбаунти — выплачено 22 млн рублей

Про то, что "национальный мессенджер" делался в весьма сжатые сроки, писали давно. Очевидно, что уязвимости там будут. Багбаунти в таком случае — хорошее решение.

Тут самое интересное вот это:

По данным на 10 апреля, всего было принято 288 отчетов об уязвимостях (из 454 сданных). Общая сумма выплат белым хакерам составила почти 22 млн руб., средняя выплата — 349 тыс. руб. Мессенджер также исследовали участники платформ Bi.Zone и «Киберполигон», им было выплачено около 1,5 млн руб.

288 принятых отчетов — это много. То, что занялись безопасностью — хорошо. Но тут ключевой вопрос — что из найденного будет исправлено, потому что найти проблему это одно, а исправить немного другое.

Но масштаб, конечно, впечатляет.

Шифровальщик или взлом? Порекомендуй нас и получи 20% от стоимости работ!

Мы запускаем новую программу по реагированию на инциденты и расследованиям. Взлом — ситуация частая и мы знаем, что нужно делать.

С начала года мы сделали ряд проектов по расследованиям инцидентов. В одном случае с нами связались в 4 часа дня воскресенья, а в 8 вечера исполнитель уже был на объекте заказчика. В другом случае мы нашли исполнителя, который был готов утром следующего дня оказаться в 400 километрах от Москвы. Во всех случаях заказчики были довольны — мы работаем быстро, качественно и конфиденциально. Мы стремимся строить длительные взаимовыгодные отношения.

К слову, в одном случае инцидент оказался гораздо проще — форензика (расследование) оказалась не нужна. Если происходит подобное — мы прямо говорим заказчику, что произошло. Никакого миссейлинга.

Работаем как с небольшими компаниями, так и с крупным бизнесом с оборотами в десятки миллиардов. Только опытные профессионалы с десятками проектов за плечами и кристальной репутацией. Способ выплаты вознаграждения обсуждаем.

Как лгать машине. Разбираем принципы работы полиграфа и способы обойти проверку

Итак, вышла моя вторая статья на Хакере.

И она снова не совсем техническая, но ведь про технику пишут многие и пишут хорошо!

А вот про мои темы, к сожалению, пишут зачастую мифы.

Поэтому, кто если не я?

Читать с подпиской тут:
https://xakep.ru/2026/04/15/polygraph-tricks/

Всем привет, на связи Антон Бочкарев!

Завтра днем буду на конференции Merge в Иннополисе, в кои то веки не выступаю)

Если кому я нужен, пишите/подходите пообщаемся!

Про запреты и киберкультуру

А все так и есть. Я представляю лица школьников, когда им рассказывают про "угрозу ужасного VPN". А потом учитель голосом мистера Маки из Южного Парка говорит "наркотики VPN это плохо, п-нятненько?". И школьник такой думает — какой именно ВПН, у меня три, один семейный, еще один я поставил бабушке, и это не считая сервака друзей в Польше ...

Причем проблема то в другом. И даже не в том, что практически НИКТО из учителей не сможет внятно ответить, почему VPN это плохо. Все хуже — реальные угрозы и реальные проблемы размываются откровенным кринжом.

Например, реальной угрозой может быть браузерное расширение, в том числе VPN, да. Вспоминаем историю конца прошлого года — там одобренное (!!) Google бесплатное расширение VPN Proxy 6 тайно собирало и продавало переписку пользователей с ИИ-ассистентами. Фейковые расширения для Chrome воровали логины и пароли пользователей. PLAYFULGHOST бандилась с популярными VPN-решениями. И другой вагон проблем с бесплатным VPN за год: "если вы не платите за товар деньгами, то платите своими данными".

Вот только неотъемлемая часть обучения киберграмотности — это воспитание критического мышления. А о каком критическом мышлении идет речь, когда аргументы в пользу "угрозы VPN" у любого более-менее технически грамотного школьника (то есть почти у любого) вызывают искренний хохот?

Павел Дуров обвиняет французских (а только ли?) чиновников в похищениях криптанов

Есть такой термин, wrench attacks ("гаечные ключи") — это физическая атака на владельца криптокошелька. Как вы думаете, в какой стране похищают больше всего криптанов? В Колумбии? В Бразилии? В США? А вот нифига — во Франции (привет, безопасный Евросоюз). Тут Дуров написал просто базу о том, почему это происходит. Спойлер: похищения "поощряет" государство.

Ключевым фактором являются ... французские налоговые чиновники. Которые плевать хотели на налоговую тайну и с огромным удовольствием продают любую информацию местному криминалу. А теперь самое офигенное — как вы думаете, сколько чиновников было привлечено за подобное?

Одна. Но там божественно — дама была ранее судима за передачу наркотиков заключенным (!), сливала криминалитету адреса сотрудников тюрем (!!), и до кучи занималась пробивом. Собственно говоря, она "спалилась" только из-за того, что действовала ну совсем непрекрыто нагло.

А теперь зададимся офигенно интересным вопросом — а что происходит в России? В теории, у нас есть банковская и налоговая тайна. На практике, банки "текут" так, что проще уже API подключать. С налоговой тоже интересно: мы очевидно не будем давать явки и пароли, но купить на "черном" рынке практически любую информацию о владельцах, оборотах, связях, счетах итд итп не составляет проблему. За очень небольшие деньги.

И вот тут всплывает главный вопрос: вот в ЕС есть GDPR, в России есть 152-ФЗ, за который (в теории) сейчас будут немилосердно штрафовать. А готово ли государство нести ответственность за утечки с его стороны? Готово ли оно наказывать коррумпированных чиновников и сотрудников (хотя бы запретом на трудоустройство)?

Если ответ "нет" — то не надо удивляться, почему у нас криптоиндустрия будет бояться выйти из тени. А то, что о похищениях в России не пишут — не значит, что их нет.

Домены в RU-зоне безопаснее, или наоборот?

Недавно МВД распространило заявление, где советовало россиянам "не переходить по ссылкам вне доменной зоны .ru"

В самом тексте были уже более корректные уточнения с наиболее опасных доменных зон, которые часто используют для вредоносного ПО, например .xyz

Но самое заявление однозначно выглядело так, что домены в RU зоне безопаснее!

А так ли это на самом деле? Нет, к сожалению, даже наоборот.

Обратите внимание на свежайшую статью на Habr, которая для специалистов по кибербезопасности не несет какой-то новой информации.

Она показывает, что различный киберкриминал чувствует себя в Ru-зоне более комфортно, ведь жалобы на них игронируются примерно всеми. А одна ИБ-компания занимается защитой подобного черного бизнеса.

Очередное подтверждение от человека не из индустрии, который пытался добиться действий или хотя бы ответа от всех инстанций и ряда ИБ-компаний, но безуспешно.

Отдельно забавно, что две другие наши национальные зоны .su и .рф не отметили, видимо они тоже "опасные".

А уж наш сайт 3side.ORG так совсем)

Белые списки на домашнем Интернете?

Сегодня СМИ «газета.ру» опубликовала новость с заголовком о включении белых списков на домашнем интернете. Если прочитать статью, то станет понятно, что речь идёт о провайдере «Всем Wi-Fi». Так вот, важно понимать, что данный провайдер является «виртуальным» домашним провайдером — в том смысле, что они не проводят кабеля интернета от своего оборудования, они устанавливают оборудование для сотовых модемов (или радиоканалов до таких модемов) напрямую в квартирах, то есть по сути пользователи данного провайдера точно также сидят на мобильном интернете. То есть речь идёт сейчас не про включение белых списков на кабельном интернете, а всё также речь идёт про то, что любая sim-карта, вне зависимости от контракта и типа будет работать только через белый список.

Поэтому заголовок на текущий момент не соответствует действительности, корректней будет сказать, что любая мобильная связь теперь идёт через белые списки, не отделяя в каком оборудовании установлена sim-карта. И естественно это ударит по пользователям и малому бизнесу нашей бескрайней Родины, так как возможность заместо протягивания километров кабелей и постройки станций обслуживания, просто поставить радиовышку и установить радиоканалы очень сильно повышало цифровизацию.

А про включение белых списков для домашнего интернета пока информации нет, но попытки такого включения будут максимально ошибочны – да, вражеские fpv-дроны летают на оптоволокне, но оно не имеет отношения к интернету.

ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 1: ПОНЕДЕЛЬНИК
Серия 1 из 8.

8:47 утра. Людмила Семёновна включает компьютер.

1С не открывается.

Людмила Семёновна — бухгалтер с 22-летним стажем. Она переживала налоговые проверки, нулевые годы, три смены директоров и один пожар в соседнем офисе. Но такого она не видела.

На экране текст. На английском. Людмила Семёновна не знает английский, но слово ENCRYPTED она как-то понимает.

Звонит Диме.

Дима — айтишник ООО «Три Богатыря». Официально его должность называется «специалист по информационным технологиям». Неофициально — «Дима, почему опять не работает принтер».

Дима берёт трубку. Слушает. Молчит три секунды.

— Уже еду, — говорит Дима голосом человека, который понял всё.

В машине Дима гуглит: «что делать если зашифровали файлы».

Читает первую статью.

Думает про себя: «Ну и ладно. Главное — не паниковать. И главное — чтобы Михаил Борисович не паниковал».

Дима приезжает. Смотрит на экран. Кивает с умным видом.

— Да, — говорит Дима. — Вижу.

Пока Дима смотрит на экран, в соседней комнате начинается другая история.

Антон — руководитель продаж. Три менеджера под ним. В 9:15 ему звонит «Стройдепо» — крупный клиент, заказ на 4 тонны арматуры, отгрузка сегодня.

— Антон, где накладные? Машина уже стоит.

Антон смотрит на Диму. Дима делает знак рукой: «чуть позже».

— Небольшие технические работы, — говорит Антон. — К обеду всё будет.

Кладёт трубку. Записывает в блокноте: «Стройдепо — к обеду».

Следующий звонок через 20 минут. «Гарантстрой». Тоже ждут документы.

— К обеду всё будет, — говорит Антон.

Блокнот заполняется.

━━━━━━━━━━

Счётчик потерь. День 1:

— Простой: ~500 000 ₽ упущенной выручки

— Потрачено на «лечение»: 0 ₽

— Данные: зашифрованы

— Причина известна: нет

— Антон пообещал «к обеду» шести клиентам. Сейчас 10:30.

━━━━━━━━━━

Продолжение в четверг.

Многосерийный рассказ ждет вас, подписывайтесь на наш канал для более массовой аудитории, чтоб не пропустить новые серии!)

https://t.me/Capital_sec

P.S. Там открыты комментарии

Вышла вторая серия нашего сериала!

Далее каждый вторник/четверг/воскресенье!

Взломал аккаунт — получи статью?

Тут журналисты из Mash выложили офигенную историю о том, как женщина наняла частных сыщиков, которые взломали аккаунт ее мужа в ТГ.

... Делегировала слежку детективному агентству — сыщики взломали тг супруга и выяснили, что он — подписчик группы ...

А теперь начинаем считать, какие статьи подобрали с пола уважаемые господа сыщики. Ну, если они реально "взламывали" ТГ:

Статья 272 «Неправомерный доступ к компьютерной информации» — до 2 лет лишения свободы.
Статья 272 «Использование вредоносных программ» — до 4 лет, но тут вероятно фишинг, так что не факт что применимо.
Статья 138 «Нарушение тайны переписки» — ну, только если очень захотеть
В качестве комбо идет 33.3 — для жены (организатор преступления)
159.6 здесь подтащить сложно, но всякое бывает.

Итого — большой новостной ТГ канал вот так рассказывает о фактически совершенном преступлении. Интересно, после этого полиция не захочет заняться участниками преступления и его возможным организатором?))

О моральной стороне деяний мужа … просто без комментариев((