Компьютерная
криминалистика

Хотите навсегда избавиться от нежелательной ссылки в результатах поиска Google? Наша профессиональная услуга по удалению ссылок поможет Вам очистить Вашу онлайн-репутацию и защитить личную информацию. Мы гарантируем полное удаление одной ссылки из поисковой системы Google, обеспечивая Вам спокойствие!

Предлагаем услугу по удалению ссылок из поисковой системы Яндекс. Это поможет Вам защитить свои личные данные и репутацию. Гарантируем полное удаление одной ссылки, обеспечивая Вашу конфиденциальность.

В современном мире, где интернет играет огромную роль в формировании личной и профессиональной репутации, нежелательная информация о Вас в сети может нанести значительный вред. Понимая это, мы предлагаем Вам нашу профессиональную услугу по удалению нежелательной информации из интернета. Наша цель — помочь Вам восстановить и защитить Вашу онлайн репутацию, обеспечивая конфиденциальность и эффективность на каждом шагу.

Сбор и анализ информации о любом человеке по Вашему запросу. Наша команда использует современные методы и технологии для получения достоверных данных из различных источников.

Расследование и анализ различных цифровых инцидентов. Поможем Вам выявить и устранить угрозы, а также собрать необходимые данные для решения ваших задач в киберпространстве.

Среднестатистический сотрудник службы ИБ узнаёт о ransomware-атаке в три часа ночи – по звонку дежурного. На экране уже не файлы, а красивые обои с биткоин-адресом и обратным таймером. Добро пожаловать в самый прибыльный сегмент киберпреступности: в 2025 году зафиксировано более 7 000 инцидентов с шифровальщиками в мире, а атаки на IT-сектор удвоились год к году. В Q1 2026 активность держится на «устойчивом новом нормальном» уровне – Qilin, Akira, LockBit-наследники никуда не делись.

Сейчас расскажу, как оно работает изнутри: как строится расследование, как находят авторов и где они всё равно ошибаются.

Анатомия современной атаки

Прежде чем искать виновных, нужно понять, что произошло. Современный ransomware – это не «пришёл, зашифровал, ушёл». Это многоэтапная операция с чёткой воронкой:

1. Initial Access – фишинг, эксплойт уязвимостей (чаще всего VPN-устройства: в 2025 году Akira буквально «ехала» на дырках в SonicWall SSL VPN)
2. Reconnaissance & Lateral Movement – тихое изучение сети, сбор учётных данных, продвижение к домен-контроллеру
3. Data Exfiltration – воруют данные до шифрования (тактика «тройного вымогательства»: «Заплати – иначе зашифруем, и данные сольём, и клиентов уведомим»)
4. Deployment – запуск шифровальщика, уничтожение теневых копий, оставление ransom note
5. Extortion – требование выкупа, дедлайн, сайт публикации утечек в даркнете

Понимание этой цепочки критически важно для расследования: каждый этап оставляет следы, и каждый след – это потенциальная точка атрибуции.

Форензика на месте преступления

Получив доступ к скомпрометированной инфраструктуре, следователь работает с несколькими уровнями артефактов.

Системные артефакты

• Event Logs (Windows) – Event ID 4624/4625 (входы/неудачные авторизации), 4688 (создание процессов), 7045 (установка новых сервисов). Часто операторы чистят логи, но не всегда успевают: SIEM мог уже отправить их в облако
• Prefetch / AmCache / Shimcache – следы запуска исполняемых файлов даже после удаления бинарников
• VSS (Volume Shadow Copies) – если их не успели убить, можно восстановить файлы до шифрования
• MFT ($MFT) – таблица файловой системы NTFS. Даже удалённые файлы оставляют в ней следы с временны́ми метками

Сетевые артефакты

Анализ PCAP, NetFlow или DNS-логов (если они сохранились) позволяет восстановить карту lateral movement: какой хост к какому обращался, на каких портах, в какое время. Ключевые признаки: аномальные SMB-соединения, обращения к C2 через нестандартные порты, DNS-запросы к «молодым» доменам (зарегистрированным за 24–48 часов до атаки).

Анализ малвари

Образец шифровальщика – это золото. С него снимают:

• Строки и конфигурация: зашитые адреса C2, имена мьютексов, исключённые директории – всё это тактические «отпечатки»
• Компиляционные метаданные: временная зона компилятора, язык интерфейса разработчика
• Техники уклонения (TTPs по MITRE ATT&CK): как именно обходится UAC, как удаляются теневые копии – разные группы делают это по-разному

Атрибуция: как находят вымогателей

Атрибуция – самый сложный и самый интересный этап. Здесь форензика превращается в OSINT с элементами разведки.

TTPs как цифровая подпись

Каждая группировка имеет «почерк». Конкретные способы горизонтального перемещения, любимые инструменты (Cobalt Strike vs. Brute Ratel), схемы именования файлов-вымогалок, тексты ransom note – всё это сравнивается с базами данных Threat Intelligence. Аналитики составляют матрицу совпадений и с высокой вероятностью говорят: «Это Qilin, а не Akira».

Блокчейн-трейсинг: деньги не лгут

Криптовалюта – любимый инструмент вымогателей и главная ошибка большинства из них. Расследователи применяют:

• Address Clustering – группировка адресов, которыми управляет одна сущность, на основе паттернов транзакций
• Visualization via Graph Analysis – инструменты вроде Chainalysis, Elliptic, TRM Labs строят граф движения средств от жертвы до точки обналичивания
• Cash-out Point Identification – рано или поздно средства попадают на централизованную биржу (CEX), где требуется KYC. Это и есть конец цепочки

Именно так был прослежен один из крупнейших выкупов в истории (атака на Colonial Pipeline, 2021): 75 биткоинов были изъяты ФБР через отслеживание блокчейна до горячего кошелька с известным ключом.

Операционные ошибки хакеров

Вот чего не стоит делать, если ты оператор ransomware – но именно это они и делают:

• Использовать один и тот же биткоин-адрес в нескольких атаках (кластеризует всю активность)
• Хостить панели управления (RaaS-платформы) на VPS с плохо настроенной OPSEC
• Общаться в Telegram/форумах с одними и теми же никнеймами, что и в «легальных» сферах
• Зарегистрировать домен на реальный email

Именно провалы в OPSEC привели к Операции Кронос (февраль 2024): Europol и NCA совместно с ФБР получили контроль над 34 серверами LockBit, 200+ криптокошельками и 14 000 адресами электронной почты участников группировки.

Инструментарий следователя

Реальный расклад в 2026 году

Группировки эволюционируют быстрее, чем обновляются защитные инструменты:

• AI-powered ransomware – злоумышленники начали применять LLM для автоматической генерации фишинговых кампаний, адаптированных под конкретную жертву
• RaaS-модель зрелая и устойчивая: разработчики кода, аффилиаты-операторы, брокеры начального доступа (IAB) – разделение труда, как в нормальном IT-бизнесе
• Эксфильтрация без шифрования – новый тренд: зачем шифровать, если угроза публикации данных и так работает?

Расследование ransomware в 2026 году – это уже не просто форензика одного сервера. Это международная координация, блокчейн-аналитика, разведка в даркнете и гонка с командой профессионалов, которые зарабатывают на этом миллионы. Проигрывать в ней неприятно. Поэтому учитесь быстрее, чем они успевают придумывать новые трюки. 🔍

Времена, когда мы изымали смартфон, выкачивали открытую SQLite-базу WhatsApp и шли пить кофе, закончились. Преступники, хактивисты и просто параноики давно поняли, что Telegram сливает логи, а Signal привязан к номеру телефона. Сейчас на телефонах фигурантов всё чаще мелькают три названия: Session, Matrix и Element.

Если вы думаете, что вскроете их стандартным UFED в пару кликов – я вас разочарую. Это другой уровень. Здесь правят децентрализация, федеративные сети и сквозное шифрование (E2EE). Давайте разберем, как искать иголки в этом криптографическом стоге сена, пока фигурант ехидно улыбается на допросе. И да, не повторяйте это дома, я серьезно.

Session: Луковая маршрутизация и никакого телефона

Session – это дитя паранойи, выросшее из кодовой базы Signal, но посаженное на блокчейн и систему узлов (похожую на Tor). Здесь нет номеров телефонов. Идентификатором выступает Session ID – 66-символьная строка. Нет телефона – нет биллинга. Нет центрального сервера – некуда отправлять судебный запрос.

Что ищем на устройстве (Android)

Под капотом Session работает с базой данных signal.db. Да, разработчики не стали изобретать велосипед.

• Ключ шифрования лежит в файле настроек network.loki.messenger_preferences.xml (ищите тег pref_database_encrypted_secret).
• Проблема в том, что этот ключ зашифрован мастер-ключами, которые хранятся в Android Keystore.
• Если у фигуранта современный смартфон с аппаратным чипом безопасности (вроде Titan M на Pixel) – просто скопировать дамп и ковырять его на своем компе не выйдет. Ключи привязаны к железу.

Как ломать: Если у вас есть физический доступ к разблокированному устройству и root-права, можно вытащить ключи непосредственно из Keystore через Frida, снять шифрование с базы SQLCipher и читать переписку. Но помните про исчезающие сообщения: если таймер стоял на 5 минут, база может оказаться стерильно чистой. И нет, скрытых логов там не остается.

Matrix и Element: Федеративный хаос

Тут новички часто путаются. Matrix – это протокол. Element – это самый популярный клиент (приложение) для этого протокола.

Matrix – это федерация. Представьте электронную почту: вы с Gmail можете писать на Яндекс. Здесь так же. Данные могут лежать на публичном matrix.org, а могут – на сервере, поднятом фигурантом в подвале на Raspberry Pi.

Серверная форензика (Synapse)

Если вам повезло и сервер фигуранта физически стоит в вашей юрисдикции (или вы его “случайно” нашли):

• База данных сервера (обычно PostgreSQL или SQLite для мелких серверов) хранит всё.
• Там лежат все события, IP-адреса, метаданные.
• Но сообщения в личных чатах зашифрованы алгоритмом Megolm (сквозное шифрование). В базе сервера они будут выглядеть как криптографический мусор. Однако, метаданные не шифруются: вы всегда увидите, кто, кому и когда писал, даже если не прочитаете текст.

Клиентская форензика (Element)

На устройствах пользователей (смартфонах или ПК) данные зашифрованы. Но здесь есть слабое место, о котором забывают 90% “кухонных хакеров”.

• Кэш браузера/приложения. В десктопной и веб-версии Element ключи сессий и куски сообщений падают в IndexedDB / LevelDB.
• Key Backup (Резервное копирование ключей). Это самая сладкая находка следователя. Чтобы пользователь не потерял переписку при смене телефона, Element предлагает сохранить резервные ключи шифрования. Если вы найдете файл восстановления или фразу (обычно это 48 символов) в заметках или менеджере паролей фигуранта – вы расшифруете всю историю чатов.

С апреля 2026 года в Matrix v1.18 закрутили гайки: теперь обязательна жесткая верификация устройств для E2EE-сообщений. Это значит, что вы не сможете просто склонировать сессию на свой левый телефон и читать чаты в реальном времени.

Сухой остаток для оперов и безопасников

Если перед вами устройство с этими мессенджерами:

1. Не выключайте телефон! Если смарт уйдет в BFU (Before First Unlock), вы потеряете ключи шифрования из оперативной памяти.
2. Ищите резервные фразы (Recovery Keys). Люди ленивы, они сохраняют их в 1.txt на рабочем столе.
3. Для Matrix – ищите адрес домашнего сервера. Если это не публичный сервер, IP-адрес хоста может стать ключом к деанону всей сети.

И помните: форензика – это не про волшебные кнопки в программах за миллион долларов. Это про умение думать, понимать архитектуру и находить человеческую глупость там, где математика работает идеально.

Вы думали, что, конвертировав свой документ в PDF, надежно спрятали все следы правок и неловкие комментарии? Вынужден вас огорчить. Portable Document Format (PDF) – это не просто статичная картинка, это сложный контейнер, который помнит всё: кто его создал, когда, в какой программе и что именно пытался стереть перед отправкой. Давайте вскроем этот цифровой чемодан с двойным дном и посмотрим, какие скелеты там прячутся, но помните: использовать эти знания можно только в благих (или законных) целях.

Слой первый: свойства документа

Это базовый уровень метаданных, который можно назвать «визитной карточкой» файла. Здесь хранится информация, которую многие пользователи даже не задумываются очищать. В большинстве случаев этот слой содержит имя автора (часто подтягивается из учетной записи Windows), название организации, дату создания и изменения файла, а также приложение-производитель (например, Microsoft Word 2021). Посмотреть эти данные можно даже без спецсофта – достаточно открыть файл в Adobe Acrobat и заглянуть в меню «Свойства». Если документ создавался на домашнем компьютере, есть все шансы увидеть там настоящий юзернейм создателя, даже если он подписался как «Анонимус».

Слой второй: скрытые структурные данные

Здесь начинается настоящая форензика. PDF устроен так, что старые данные при редактировании часто не удаляются физически, а просто перекрываются новыми слоями или помечаются как невидимые. Этот структурный слой может содержать историю правок, удаленный (но восстановимый) текст, аннотации, невидимые комментарии и черновики полей форм. Более того, если в PDF встроены изображения, они могут тащить за собой собственные EXIF-данные, вплоть до точных GPS-координат места, где была сделана фотография. Именно этот уровень чаще всего становится причиной громких утечек, когда замазанный черным маркером текст в контракте внезапно оказывается читаемым при простом копировании.

Инструментарий для вскрытия

Чтобы вытащить всю подноготную из файла, одних встроенных просмотрщиков недостаточно. Для базового анализа подойдут онлайн-тулзы вроде Metadata2Go или Metadata Finder, которые быстро покажут скрытые поля. Но если нужно копнуть глубже, в ход идет тяжелая артиллерия:

• ExifTool: мощная утилита командной строки, которая вытаскивает абсолютно все доступные метаданные и позволяет их редактировать или удалять.
• pdf-parser: инструмент для структурного анализа PDF, способный находить скрытые объекты, JavaScript-вставки и удаленные элементы.
• Инструменты очистки: для защиты собственных данных перед отправкой стоит использовать функции вроде «Удалить скрытую информацию» в Acrobat Pro или специальные «шредеры метаданных», чтобы не стать героем чужого расследования.