Эксперты PT Expert Security Center (PT ESC) сообщили о первых попытках эксплуатации уязвимости CVE-2025-24071 , затрагивающей Windows 10 и Windows 11, включая серверные версии. Проблема заключается в механизме обработки файлов в проводнике Windows и системе индексирования, автоматически анализирующих файлы .library-ms при распаковке архива. Вредоносный файл с расширением .library-ms может содержать ссылку на SMB-ресурс. После распаковки архива операционная система инициирует NTLM-аутентификацию на сервере злоумышленника без участия пользователя, что приводит к утечке NTLMv2-хеша учетной записи жертвы. Уязвимость была подробно описана исследователем 0x6rss 18 марта. Позднее специалисты Broadcom сообщили, что уязвимость может эксплуатироваться при открытии писем с вложенными .library-ms файлами. По данным PT ESC, зафиксированы атаки на организации в России и Беларуси. Вредоносные архивы содержат PDF-документ-приманку и файл .library-ms. При открытии PDF-файла жертва не подозревает, что в фоновом режиме происходит отправка хешей на сервер злоумышленников.
Ожидается рост атак с использованием CVE-2025-24071. Эксперты рекомендуют:
Ограничить выходящие SMB-соединения на внешние IP-адреса;
Установить мартовские обновления безопасности Windows;
Запретить запуск файлов с расширением .library-ms;
Блокировать получение таких файлов по электронной почте.

Источник: https://www.securitylab.ru/news/557580.php

Вопрос сохранения конфиденциальности в сети стоит все острее. Хотя многие пользователи осознают важность VPN и HTTPS, не все задумываются о том, что даже при защищенном соединении их DNS-запросы могут быть видны интернет-провайдеру. Эти запросы содержат в себе адреса посещаемых сайтов, а значит, провайдер или недоброжелательные третьи лица теоретически могут отслеживать вашу активность в интернете. В данной статье мы разберем, почему DNS-запросы могут оказаться уязвимым местом, какие существуют способы их зашифровать и как правильно настраивать инструменты для повышения анонимности в сети. Вы получите не только теоретическое понимание, но и практические советы с описанием конкретных шагов.
Что такое DNS и почему его стоит скрывать. DNS (Domain Name System) — это служба, которая «переводит» удобные для человека доменные имена (например, example.com) в IP-адреса, понятные машинам. Каждый раз, когда вы вводите адрес сайта в браузере или запускаете приложение, которое выходит в интернет, ваш компьютер отправляет DNS-запрос к серверу, чтобы узнать, какой IP-адрес соответствует запрошенному доменному имени.
Эти DNS-запросы зачастую передаются в незашифрованном виде. Представьте: даже если вы используете HTTPS или VPN, ваш провайдер может по-прежнему «видеть», к каким DNS-серверам вы обращаетесь, и на какие домены вы пытаетесь зайти. Почему это потенциально опасно:
Ваш провайдер (или любой перехватчик трафика) может составить список посещенных вами ресурсов и сервисов.
Данные DNS-запросов иногда используют для цензуры в некоторых странах, блокируя доступ к определенным ресурсам.
При утечке или продаже этих данных рекламодатели могут лучше понимать ваши интересы и показывать таргетированную рекламу.
Чтобы минимизировать риски, важно научиться шифровать DNS-запросы или перенаправлять их через анонимные сети, делая их недоступными для провайдера или посредников.
Разновидности защищенных DNS-протоколов. Сегодня существует несколько технологий, позволяющих увести DNS-запросы «из поля видимости» провайдера. Рассмотрим наиболее популярные из них: DNS over HTTPS (DoH), DNS over TLS (DoT) и DNSCrypt. Все они решают задачу шифрования, но используют разные протоколы и имеют свои особенности.
DNS over HTTPS (DoH)
DNS over HTTPS использует протокол HTTPS для передачи DNS-запросов. Это означает, что ваши DNS-запросы фактически выглядят как обычный HTTPS-трафик. В результате:
Провайдер видит только то, что идет HTTPS-трафик на определенный IP-адрес, но не может узнать, какие именно домены запрашиваются.
DoH легко интегрируется в современные браузеры, а Google Chrome, Mozilla Firefox и другие уже имеют встроенные настройки для использования DoH.
Установка клиентского ПО часто не требуется, достаточно включить поддержку DoH в браузере или операционной системе.
Недостаток DoH заключается в том, что при использовании публичных DNS-сервисов (например, Cloudflare или Google DNS) вы перекладываете доверие с провайдера на крупную компанию. С одной стороны, она обещает не передавать вашу информацию третьим лицам, с другой — фактически вы отдаете статистику о своих запросах другому крупному игроку на рынке.
DNS over TLS (DoT)
DNS over TLS базируется на шифровании TLS (Transport Layer Security). Принцип похож на HTTPS, но запросы идут не через порт 443 (как в HTTPS), а обычно через порт 853. Преимущества DoT:
Четкий стандарт, ориентированный именно на DNS-трафик.
Поддержка некоторыми популярными провайдерами DNS, такими как Quad9, Cloudflare и др.
Гибкая настройка на уровне ОС и маршрутизаторов (при наличии соответствующих прошивок).
Однако, если провайдер или файервол, через который вы проходите, блокирует нестандартные порты, использование DoT может стать проблематичным. Также, как и в случае DoH, вопрос конфиденциальности частично переносится на сервис, который обрабатывает ваши зашифрованные DNS-запросы.
DNSCrypt.
DNSCrypt — протокол, позволяющий зашифровать и проверить подлинность коммуникаций между клиентом и DNS-сервером. Он был одним из первых решений, ориентированных на персональную приватность. Его преимущества:
Поддержка аутентификации: вы можете быть уверены, что ответ приходит с оригинального DNS-сервера, а не от злоумышленника.
Стабильная производительность и активная поддержка сообществом.
Наличие различных реализаций для Linux, Windows, macOS, а также совместимых решений для роутеров, таких как OpenWrt или AsusWRT Merlin.
Из недостатков выделяют то, что DNSCrypt не так активно развивается, как DoH/DoT, и не все публичные провайдеры DNS его поддерживают. Тем не менее, для многих сценариев (особенно на уровнях локальных сетей или DIY-подходов к конфигурации) он остается весьма удобным и надежным.
Использование VPN для шифрования DNS-запросов. VPN (Virtual Private Network) — это один из универсальных способов скрыть свою активность в интернете от провайдера, включая и DNS-запросы. Когда вы подключаетесь к VPN, весь ваш трафик (при условии правильной настройки клиента и сервера) идет через зашифрованный туннель к VPN-серверу, который уже «от лица» вашего устройства обращается к ресурсам в интернете.
Однако важно проверить, не включена ли опция «split-tunneling», или не утечет ли DNS-трафик «мимо» VPN при сбоях. Поэтому обращайте внимание на такие нюансы:
Kill Switch: функция, разрывающая интернет-соединение, если VPN-связь будет потеряна. Без нее возможно, что трафик и DNS-запросы внезапно пойдут напрямую через провайдера.
Выбор DNS-сервера: многие VPN-клиенты по умолчанию перенаправляют DNS-запросы на собственные DNS-серверы. Проверьте, действительно ли это так.
Leak Protection: отдельная настройка в некоторых VPN-приложениях, которая гарантирует, что никаких DNS-запросов не «просочится» за пределы туннеля.
Ключевой момент: не все VPN-сервисы одинаково надежны. Перед покупкой или выбором бесплатного варианта изучите репутацию сервиса, его политику ведения логов и отзывы пользователей. VPN, ведущий логи, может теоретически передать ваши данные третьим сторонам по запросу.
Tor и анонимные сети
Tor (The Onion Router) — это сеть, которая перенаправляет ваш трафик через несколько зашифрованных узлов, затрудняя определение вашего реального IP-адреса и отслеживание маршрута данных. Важный момент: если вы используете стандартный Tor Browser, DNS-запросы будут идти тоже через Tor, что скрывает их от вашего провайдера. Но есть тонкости:
Скорость работы. Tor часто значительно медленнее обычного соединения или VPN.
Удобство. Tor Browser изолирует вкладки и не позволяет использовать привычные плагины и расширения для обеспечения анонимности.
Блокировки и капчи. Многие сайты относятся к трафику из Tor с подозрением, могут требовать вводить капчу, либо вообще не пускать на ресурс.
Tor эффективен для скрытия DNS-запросов, но для постоянной повседневной работы может оказаться слишком неудобным. Если ваша цель — максимально возможная анонимность, Tor — одно из лучших решений, однако быстро и просто скрыть DNS, сохранив высокую скорость, проще при помощи DoH/DoT или VPN.
Настройка шифрования DNS-запросов на практике.
У многих пользователей возникает вопрос: «Как это все настроить?» Приведем несколько примеров на разных платформах — от десктопа до роутера.
Настройка DNS over HTTPS в браузере Mozilla Firefox:
Откройте Firefox и введите about:preferences в адресной строке.
Перейдите в раздел Настройки – Общие.
Найдите пункт Сеть или Настройки соединения и нажмите кнопку Настройки….
Поставьте галочку напротив Включить DNS через HTTPS.
Выберите предпочитаемого провайдера (Cloudflare, NextDNS или Custom) и сохраните изменения.
После этого все DNS-запросы из Firefox будут передаваться по HTTPS. Провайдер будет видеть только зашифрованный поток и не узнает запрашиваемые домены.
Настройка DoH в Google Chrome (Windows 10/11):
Откройте Параметры Windows и перейдите в Сеть и интернет.
Выберите Свойства для того подключения, которое вы используете (Wi-Fi или Ethernet).
Прокрутите вниз и найдите параметр «DNS-серверы». В некоторых сборках Windows 10/11 можно сразу задать DNS-сервер с поддержкой DoH (например, 1.1.1.1 от Cloudflare).
Выберите «Зашифрованный» или «DNS over HTTPS» в настройках DNS, если это доступно. Если система не предоставляет удобного графического интерфейса, можно использовать консольные инструменты (PowerShell) или сторонние решения (например, Simple DNSCrypt), чтобы реализовать шифрование. Альтернативно вы можете внутри браузера Chrome включить «Secure DNS» (в разделе «Безопасность» или «Privacy and Security»), указав сервис, который поддерживает DoH. Версии браузера с русской локализацией могут иметь немного другие названия настроек.
Использование DNSCrypt на Linux-системах:
Установите dnscrypt-proxy через менеджер пакетов (например, apt-get install dnscrypt-proxy на Debian/Ubuntu).
Отредактируйте файл /etc/dnscrypt-proxy/dnscrypt-proxy.toml (имя файла может отличаться в зависимости от дистрибутива) и выберите сервер, который вы хотите использовать — например, public-resolvers или cloudflare.
Убедитесь, что служба dnscrypt-proxy запускается автоматически при старте системы.
В файле /etc/resolv.conf пропишите 127.0.0.1 (локальный адрес) в качестве DNS-сервера. Таким образом, все приложения в системе будут отправлять DNS-запросы на dnscrypt-proxy, а тот уже шифровать их и передавать дальше.
Перезапустите службу и проверьте с помощью dig или nslookup, что трафик проходит через dnscrypt-proxy.
Настройка DoT/DoH на уровне роутера:
Если прошивка вашего маршрутизатора поддерживает DoT/DoH — это отличный способ скрыть DNS-запросы сразу со всей домашней сети. Некоторые популярные вариации прошивок, такие как OpenWrt или AsusWRT Merlin, имеют встроенную поддержку. Вам достаточно:
Зайти в веб-интерфейс роутера.
Найти раздел DNS Privacy, DoT или Настройки DNS.
Включить опцию DNS over TLS или DNS over HTTPS.
Указать предпочтительный DNS-сервер (например, 1.1.1.1 или 9.9.9.9).
Это особенно удобно, если в вашей сети несколько устройств (смартфоны, планшеты, компьютеры). Вместо настройки каждого девайса по отдельности достаточно настроить роутер один раз.
Выбор надежного публичного DNS-сервиса.
Если у вас нет возможности поднять собственный DNS-сервер, а VPN вы использовать не хотите, придется выбрать надежного публичного DNS-провайдера, поддерживающего шифрование. Вот несколько популярных опций:
Cloudflare DNS (1.1.1.1, 1.0.0.1) — один из самых быстрых и популярных сервисов, предлагает поддержку DoH и DoT. Cloudflare заявляет, что не хранит логи пользователей более 24 часов.
Google Public DNS (8.8.8.8, 8.8.4.4) — гигант от Google. Быстрая и надежная служба, но вызывает у некоторых вопросы по поводу конфиденциальности.
Quad9 (9.9.9.9) — некоммерческая организация, блокирует вредоносные домены и поддерживает DoT. Компания делает акцент на приватности, но для кого-то важно, что сервис может фильтровать часть трафика (впрочем, обычно лишь откровенно вредоносные ресурсы).
NextDNS — облачный DNS, предоставляет гибкую фильтрацию контента, блокировку рекламы и обширную аналитику. Поддерживает DoH и может быть интересен продвинутым пользователям. Прежде чем выбрать «идеальный» DNS-сервис, подумайте о том, насколько вы готовы делиться своей статистикой посещений. Даже зашифрованные DNS-запросы к сервису в конечном итоге расшифровываются именно на стороне этого провайдера. Если вы особенно опасаетесь слежки, возможно, стоит периодически менять DNS-сервисы или поднять собственный сервер.
Собственный DNS-сервер: максимально возможный контроль:
Для продвинутых пользователей существует вариант поднять собственный DNS-сервер и обеспечить ему поддержку DoH/DoT/DNSCrypt. В этом случае вы не зависите от публичных служб. Однако сложность настройки существенно возрастает. Типовый сценарий:
Развертывание DNS-сервера на VPS (виртуальном сервере) или на домашнем сервере с «белым» IP.
Установка ПО, которое поддерживает шифрование (например, CoreDNS, Bind с модулями TLS, dnscrypt-proxy в режиме сервера или stubby для TLS).
Настройка шифрованного канала и сертификатов SSL/TLS.
Конфигурация клиентов, чтобы они подключались к вашему серверу.
Это решение требует времени и знаний системного администрирования. Плюс вы будете выступать как оператор DNS-сервера, в связи с чем возникнут вопросы отказоустойчивости и обслуживания. Тем не менее, выгода очевидна: все ваши DNS-запросы шифруются и находятся под вашим полным контролем.
Распространенные ошибки и подводные камни.
Существует несколько типичных ошибок, которые совершают новички при попытке скрыть DNS-запросы:
Частичная настройка шифрования. Включили DoH в браузере, но мобильные приложения по-прежнему используют старую конфигурацию? Или применили шифрование на уровне ОС, но роутер «раздает» непроверенный DNS для остальных устройств. Итог: не все запросы защищены.
Игнорирование утечек DNS при сбоях. Без наличия «Kill Switch» или DNS Leak Protection ваш компьютер может переключиться на обычные DNS-серверы при разрыве VPN-соединения.
Слишком много доверия к DNS-провайдеру. Даже если вы пользуетесь шифрованием, публичный сервис все равно видит, к каким доменам вы обращаетесь. Если нужна абсолютная анонимность, придется прибегать к Tor или собственному DNS-серверу.
Сочетание нескольких методов без понимания приоритетов. Одновременный запуск DNSCrypt и DoH, к примеру, может приводить к конфликтам. Всегда проверяйте, какой сервис фактически «перехватывает» запросы.
Долгосрочная стратегия конфиденциальности:
Сокрытие DNS-запросов — лишь один из шагов на пути к комплексной защите приватности. Помимо шифрования DNS, стоит:
Использовать HTTPS и следить, чтобы сайты и приложения не передавали важные данные в незащищенном виде.
Поддерживать VPN-подключение, особенно при работе через публичные Wi-Fi-сети.
Следить за тем, какие расширения и приложения стоят на ваших устройствах, проверять их репутацию и разрешения.
Применять блокировщики рекламы и трекинга, чтобы уменьшить «цифровой след».
Регулярно обновлять операционную систему и программы, поскольку уязвимости могут позволить злоумышленникам обойти даже защищенные каналы.
Таким образом, стратегия конфиденциальности — это комплексный подход: хранить пароли в безопасном менеджере, использовать шифрованную почту, применять безопасные мессенджеры и, конечно же, не забывать шифровать DNS-запросы.
Заключение:
Сокрытие DNS-запросов от любопытных глаз провайдера — это важная часть защиты личных данных. В современном интернете, где все больше сервисов переходит на шифрование и приватность, игнорировать DNS уже нельзя. К счастью, возможностей скрыть свои запросы предостаточно: от встроенной поддержки DoH в браузерах до независимого поднятия DNS-сервера с DNSCrypt или DoT. При этом каждый способ имеет свои компромиссы. VPN удобен и сразу защищает весь трафик, но его скорость и политика логирования зависят от компании-провайдера. DNS over HTTPS или DNS over TLS хорошо скрывают именно DNS-запросы, но перекладывают доверие на оператора DNS. Tor обеспечивает высокий уровень анонимности, однако может быть медленным и не всегда удобным для повседневных задач. Подумайте, что для вас критически важно: скорость, простота настройки, или предельная анонимность. Исходя из этого и выбирайте стратегию. Но главное — не бойтесь экспериментировать. Сегодня есть масса инструментов, которые сделают вашу работу в сети более безопасной и приватной. И пусть ваш провайдер останется в неведении относительно ваших интернет-похождений!

Источник: https://www.securitylab.ru/analytics/557595.php

Фишинговая кампания, маскирующаяся под системные оповещения Microsoft, изменила направление и теперь нацелена на пользователей macOS. Изначально атаки были ориентированы на владельцев Windows-устройств, но в начале 2025 года специалисты платформы LayerX, занимающейся защитой браузеров, зафиксировали смену вектора атаки . Кампания активно развивалась на протяжении 2024 года, особенно усилившись к его завершению. Суть первых волн атаки заключалась в демонстрации потенциальным жертвам поддельных сайтов, которые имитировали системные предупреждения от Microsoft.
Пользователю сообщалось, что устройство якобы «заблокировано» и «скомпрометировано», после чего запрашивались учётные данные Windows. Одновременно с этим происходила имитация «зависания» браузера, что усиливало эффект паники. Такие действия мотивировали жертву на поспешный ввод своих данных. Особую опасность представляло то, что сайты размещались на платформе Windows.net — поддоменах, принадлежащих самой Microsoft. Это создавало иллюзию подлинности и помогало обмануть даже внимательных пользователей. Преступники также использовали легальные хостинговые сервисы, что позволяло обойти фильтры и механизмы защиты, ориентированные на подозрительные источники. Дополнительный уровень маскировки обеспечивался за счёт постоянной смены поддоменов. Каждый из них существовал недолго и быстро заменялся новым. Даже если конкретный адрес попадал в базы вредоносных ссылок, атака практически сразу продолжалась с «чистой» страницы. По данным LayerX, такая стратегия позволяла злоумышленникам сохранять высокую эффективность в течение длительного времени. Однако к началу 2025 года количество атак на пользователей Windows снизилось почти на 90%. LayerX связывает это с улучшением защитных механизмов в популярных браузерах. Chrome и Firefox усилили борьбу с фишинговыми сайтами, а в Microsoft Edge была реализована новая функция против так называемого «scareware» — программ, создающих ощущение угрозы для вынуждения пользователя к действиям. После потери эффективности на Windows-платформах злоумышленники переключились на владельцев устройств от Apple. Кампания получила новый визуальный облик, адаптированный под macOS, но сохранила основную структуру: поддельные системные предупреждения и блокировка интерфейса, призванная спровоцировать действия пользователя. LayerX отмечает, что несмотря на визуальные изменения, суть атаки осталась прежней. Анализ поведения инфраструктуры и методов распространения позволяет предположить, что наблюдаемый этап является лишь подготовкой к новой волне. Специалисты предупреждают, что атаки будут возобновлены уже в ближайшее время — с учётом выявленных уязвимостей в новых защитных механизмах Microsoft. Адаптивность, масштабируемость и устойчивость архитектуры, используемой преступниками, указывают на высокий уровень организации кампании. На текущий момент не уточняется, какие именно браузеры на macOS стали целями новых атак, и не приводятся точные данные по количеству жертв. Однако сама структура и история предыдущей фазы позволяют предположить, что уязвимыми остаются все основные браузеры без дополнительных расширений безопасности.

Источник: https://www.securitylab.ru/news/557574.php

Аналитики компании Zimperium опубликовали новое исследование, в котором предупреждают о резко возрастающих рисках безопасности при использовании рутованных мобильных устройств. Несмотря на общее снижение числа таких устройств, их уязвимость остаётся крайне высокой — и может представлять угрозу не только для самих пользователей, но и для компаний, позволяющих сотрудникам работать с корпоративными данными на личных смартфонах. За год наблюдений выяснилось, что рутованные устройства заражаются вредоносными программами в 3,5 раза чаще, чем обычные. Количество случаев установки скомпрометированных приложений у них выше в 12 раз. Нарушения целостности системы фиксировались в 250 раз чаще, а компрометация файловой системы — в 3000 раз. Наиболее подвержены риску устройства Android, где возможность получения рут-доступа технически проще. Согласно отчёту, 0,24% Android-устройств оказались рутованными, в то время как среди iOS-пользователей уровень джейлбрейка составил лишь 0,04%. При этом Apple в США вообще не позволяет устанавливать приложения вне App Store без джейлбрейка, тогда как Android официально поддерживает установку APK-файлов из сторонних источников. Однако именно это и становится ахиллесовой пятой безопасности. Пользователи, получившие рут-права, часто обходят защиту Android Play Integrity или аналогичных проверок, устанавливая потенциально вредоносные программы. В результате устройство может быть полностью скомпрометировано, включая доступ к системным файлам и конфиденциальным данным. Специалисты Zimperium подчёркивают, что такие привилегии позволяют вмешиваться в работу ОС, удалять ограничения производителей, а также использовать функции, недоступные обычным пользователям. Тем не менее, такая свобода часто оборачивается серьёзными уязвимостями. Наиболее популярными инструментами для получения рут-доступа на Android являются Magisk, APatch и KernelSU. Владельцы iPhone чаще прибегают к утилитам Dopamine, Checkra1n и Roothide. Все эти инструменты имеют ограниченную совместимость и всё чаще блокируются производителями и системами безопасности, которые научились выявлять признаки модификации системы. Zimperium напоминает, что многие вредоносные программы используют внедрение руткитов как элемент цепочки атаки, получая тем самым полный контроль над устройством. Такой скомпрометированный смартфон может стать точкой входа в корпоративную инфраструктуру, что особенно опасно в случае удалённой работы сотрудников. В компании считают, что корпоративным пользователям стоит пересмотреть политику безопасности мобильных устройств и внедрять инструменты обнаружения угроз. В условиях нарастающей активности киберпреступников отказ от поддержки рутованных и джейлбрейкнутых смартфонов становится не рекомендацией, а необходимостью.

Источник: https://www.securitylab.ru/news/557573.php

Две киберпреступные группировки Head Mare и Twelve предположительно начали работать вместе и проводят атаки на российские организации. Об этом говорится в отчёте Лаборатории Касперского, где отмечаются совпадения в используемых инструментах и серверах управления, ранее связывавшихся только с Twelve. В сентябре 2024 года Head Mare использовала уязвимость в WinRAR ( CVE-2023-38831 ) для начального доступа. Затем на устройства устанавливали вредоносное ПО, включая вымогатели LockBit для Windows и Babuk для Linux (ESXi). Twelve, в свою очередь, проводила разрушительные атаки, используя публичные инструменты для шифрования данных и уничтожения инфраструктуры с помощью вайперов. В новых атаках Head Mare применяет CobInt — бэкдор, ранее использовавшийся группами ExCobalt и Crypt Ghouls. Также был замечен новый имплант PhantomJitter, позволяющий выполнять удаленные команды. CobInt также применялся группой Twelve, что подтверждает связь между ними и другими группами. Для доступа к инфраструктуре Head Mare использует фишинг, уязвимость ProxyLogon (CVE-2021-26855) в Microsoft Exchange Server, а также взлом сетей подрядчиков, чтобы через них попасть к основным целям — это называется атакой через доверенные связи. Через ProxyLogon Head Mare разворачивает CobInt и закрепляется на сервере, создавая новых привилегированных пользователей вместо планировщика задач. Через эти аккаунты злоумышленники подключаются по RDP и вручную запускают инструменты. Для маскировки зловреды получают имена вроде «calc.exe», удаляются журналы событий, а трафик скрывается с помощью Gost и Cloudflared.
В атаке используются разные инструменты:
quser.exe, tasklist.exe и netstat.exe — для сбора информации о системе;
fscan и SoftPerfect Network Scanner — для разведки в сети;
ADRecon — для анализа Active Directory;
Mimikatz, secretsdump, ProcDump — для кражи паролей;
mRemoteNG, smbexec, wmiexec, PAExec, PsExec — для удалённого управления;
Rclone — для вывода данных;
LockBit 3.0 и Babuk — для финального шифрования.
В конце атаки злоумышленники оставляют записку с контактами в Telegram для переговоров о восстановлении доступа к зашифрованным данным.

Источник: https://www.securitylab.ru/news/557568.php