Вымогательство как услуга. Кто и за сколько предлагает в даркнете помочь с вымогательством

Эпи­демии тро­янов‑шиф­роваль­щиков регуляр­но сме­няют одна дру­гую, и их мас­шта­бы все рас­тут. А за кулиса­ми этой проб­лемы сто­ят дель­цы, которые пред­лага­ют жела­ющим лег­кий спо­соб стать хакера­ми (и с хорошей веро­ятностью — зарабо­тать судимость). В этой статье я рас­ска­жу о том, как и за сколь­ко в дар­кне­те пред­лага­ют услу­ги и софт для вымога­ния денег.

Но нач­нем мы с того, что раз­берем­ся в исто­рии вымога­тель­ской мал­вари.

ЭВОЛЮЦИЯ ЦИФРОВОГО ГОП-СТОПА

Пер­вая зафик­сирован­ная эпи­демия шиф­роваль­щика про­изош­ла в 1989 году, ког­да нор­веж­ский биолог Джо­зеф Попп разос­лал по поч­те дис­кету, эти­кет­ка которой обе­щала прос­ветитель­скую информа­цию о СПИ­Де. В реаль­нос­ти прог­рамма внед­рялась в AUTOEXEC.BAT, скры­вала пап­ки и пов­режда­ла фай­лы. Во вре­мя сле­дующей заг­рузки поль­зователь видел пред­ложение обно­вить лицен­зию ОС, отпра­вив 189 дол­ларов по поч­те в Панаму на счет ком­пании PC Cyborg Corporation, даль­ше компь­ютер не заг­ружал­ся.

В осно­ве AIDS лежала сим­метрич­ная крип­тогра­фия, то есть для шиф­рования и рас­шифров­ки информа­ции исполь­зовал­ся один и тот же ключ, поэто­му таб­летку от вируса сде­лали доволь­но быс­тро. Поп­па вско­ре наш­ли, но приз­нали нев­меня­емым и отпра­вили на лечение. Соз­датель пер­вого вымога­теля прос­лавил­ся тем, что носил на голове кар­тонную короб­ку для защиты от ради­ации.

На про­тяже­нии сле­дующих шес­тнад­цати лет слу­чаи зараже­ния прог­рамма­ми‑вымога­теля­ми были все еще ред­ки, нес­мотря на раз­витие интерне­та. Все изме­нилось в 2005 году пос­ле того, как по сети ста­ла рас­простра­нять­ся вре­донос­ная прог­рамма GPCoder.

GPCoder зашиф­ровывал информа­цию, исполь­зуя прод­винутый для тех вре­мен крип­тогра­фичес­кий алго­ритм RSA. Чуть поз­же появил­ся Archievus, который энкрип­тил фай­лы толь­ко в пап­ке «Мои докумен­ты». Оба вре­доно­са при­носи­ли соз­дателям малый про­фит, потому что анти­виру­сы лег­ко их находи­ли и уда­ляли.

Вре­донос Vundo, который начали при­менять для вымога­тель­ства Bitcoin в 2009 году, тоже про­валил­ся. Прог­раммис­ты ком­пании FireEye написа­ли скрипт для рас­шифров­ки дан­ных за нес­коль­ко дней и оста­вили девело­перов Vundo без при­были.

В 2011 году воз­ник новый вид прог­рамм‑вымога­телей — WinLock. Вмес­то того что­бы зашиф­ровывать информа­цию, локеры бло­киро­вали дос­туп к Windows и выводи­ли на экран фей­ковое меню для акти­вации ОС. Жер­твам пред­лагали поз­вонить в служ­бу под­дер­жки или отпра­вить SMS, что­бы получить код. За зво­нок и сооб­щение взи­мали пла­ту, которая перечис­лялась пря­миком в кар­ман рэкети­рам.

Тем не менее биз­нес‑модель, осно­ван­ная на при­мене­нии локеров, ока­залась про­валь­ной. В 2012 году вымога­тели зарабо­тали лишь 5 мил­лионов дол­ларов. Сум­ма серь­езная, но по мер­кам сов­ремен­ных угроз — ерун­да. Поэто­му уже в сле­дующем году хакеры вер­нулись к исто­кам циф­рового шан­тажа и ста­ли исполь­зовать модифи­циро­ван­ную вер­сию шиф­роваль­щика CryptoLocker.

Глав­ное отли­чие CryptoLocker от Vundo зак­лючалось в том, что зашиф­рован­ные фай­лы было невоз­можно вос­ста­новить, так как для их дешиф­ровки тре­бовал­ся 2048-бит­ный ключ, который мож­но было получить в онлай­новой служ­бе пос­ле опла­ты. Все­го лишь за два месяца доход соз­дателей мал­вари дос­тиг 27 мил­лионов дол­ларов в бит­кой­нах.

В 2014 году пос­ле зах­вата анти­вирус­ными спе­циалис­тами бот­нета Gameover ZeuS, через который рас­простра­нял­ся CryptoLocker, на рын­ке прог­рамм‑вымога­телей начали домини­ровать его кло­ны — CryptoWall и TorrentLocker. В 2016 году спе­циалис­ты обна­ружи­ли пер­вый вирус‑вымога­тель под наз­вани­ем KeRanger, пред­назна­чен­ный для зараже­ния маков. Спус­тя нес­коль­ко месяцев кибер­безопас­ники иден­тифици­рова­ли мно­гоп­рофиль­ный тро­ян Ransom32, спо­соб­ный инфи­циро­вать ком­пы с Windows, Mac или Linux.

В мае 2017 года с появ­лени­ем крип­точер­вя WannaCry началась новая эра в исто­рии циф­рового гоп‑сто­па. WannaCry экс­плой­тил уяз­вимость EternalBlue в Windows, уста­нав­ливал бэк­дор, заг­ружал код шиф­роваль­щика и, заразив один компь­ютер, быс­тро рас­простра­нял­ся по локаль­ной сети. За год червь про­лез в 520 тысяч устрой­ств и нанес ущерб на 4 мил­лиар­да дол­ларов. Сов­ремен­ник WannaCry — крип­точервь Petya, который исполь­зовал тот же самый экс­пло­ит Windows. Вред от «Пети» пре­высил 3 мил­лиар­да дол­ларов.

В 2018 году на элек­трон­ную поч­ту поль­зовате­лей сети начали при­ходить пись­ма с ори­гиналь­ным вре­доно­сом GandCrab. Вымога­тели соб­лазня­ли юзе­ров любов­ными пос­лани­ями и архи­вами с роман­тичны­ми наз­вани­ями, нап­ример, Love_You_2018. Но архи­вы были с изю­мин­кой — дис­три­бути­вом, заг­ружа­ющим GandCrab. В 2019 году раз­работ­чики «Кра­ба» повеси­ли клеш­ни на гвоздь, сор­вав куш при­мер­но в 2 мил­лиар­да дол­ларов.

Эс­тафет­ную палоч­ку перех­ватили злые гении, сто­ящие за изоб­ретени­ем вымога­теля REvil, извес­тно­го так­же под име­нем Sodinokibi. ИБ‑спе­циалис­ты наш­ли сов­падения в кодах GandCrab и Sodinokibi, а так­же выяс­нили, что в обо­их исполь­зуют­ся прак­тичес­ки оди­нако­вые фун­кции декоди­рова­ния строк. Поэто­му экспер­ты уве­рены, что REvil — это пря­мой нас­ледник GandCrab.

На вол­не хай­па вок­руг WannaCry и Petya в дар­кне­те запус­тили сер­висы Ransomware as a Service (RaaS) — тул­киты и плат­формы для выпол­нения атак и получе­ния выкупа. Льви­ная доля кли­ент­ской базы RaaS при­ходит­ся на ламеров, которые стре­мят­ся сру­бить капус­ту, но не хотят ничего прог­рамми­ровать самос­тоятель­но. Вымога­тель­ство как услу­га пред­став­ляет собой модель сот­рудни­чес­тва меж­ду опе­рато­рами прог­рамм‑шан­тажис­тов и так называ­емы­ми аген­тами.

RANSOMWARE НА ПРОДАЖУ

На круп­ней­шем меж­дународ­ном мар­кет­плей­се я нашел десяток объ­явле­ний, свя­зан­ных с прог­рамма­ми‑вымога­теля­ми. Вот они.

WARNING

Вся информа­ция пре­дос­тавле­на исклю­читель­но в озна­коми­тель­ных целях. Автор и редак­ция не несут ответс­твен­ности за любой воз­можный вред, при­чинен­ный информа­цией из этой статьи. Рас­простра­нение вирусов и вре­донос­ных прог­рамм — незакон­ное дей­ствие и вле­чет за собой уго­лов­ную ответс­твен­ность.

1. Исходный код KingLocker на Python для Windows за 99 евро

Вен­дор утвер­жда­ет, что пос­ле запус­ка исполня­емо­го фай­ла мал­варь под­клю­чает­ся к панели управле­ния сер­вером, ска­чива­ет ключ, зашиф­ровыва­ет дан­ные на устрой­стве и откры­вает веб‑стра­ницу с тре­бова­нием выкупа в Bitcoin. Какую‑либо информа­цию о слу­чаях зараже­ния KingLocker я не обна­ружил. Пер­вое и единс­твен­ное упо­мина­ние о вирусе на форуме Raid датиру­ется 12 июля 2020 года.

2. Вредонос Sodinokibi/REvil за 2000 долларов

По све­дени­ям Panda Security, Sodinokibi — самая при­быль­ная прог­рамма‑шан­тажист по ито­гам чет­верто­го квар­тала 2019 года. Вре­донос генери­рует уни­каль­ный ID и клю­чи для каж­дого устрой­ства, зашиф­ровыва­ет фай­лы, меня­ет обои на рабочем сто­ле и выводит на экран инс­трук­цию по дешиф­ровке, в которой ука­зан URL-адрес фор­мы для вос­ста­нов­ления дос­тупа к дан­ным.

3. Пакет исходных кодов программ вымогателей за 15 евро

Сос­тоит из:

• Skiddy ScreenLocker — копия тро­яна Exotic;
• NxRansomware — Open Source про­ект, заг­ружен на GitHub в 2016 году;
• HiddenTear — пер­вый тро­ян‑вымога­тель с откры­тым исходным кодом, выложен­ный на GitHub в 2015 году;
• MyLittleRansomware — оче­ред­ной опен­сорс, раз­работан­ный в 2018 году;
• Jigsaw Ransomware — иден­тифици­рован в 2016 году, наз­ван в честь кук­лы Бил­ли из «Пилы»;
• EDA2 Ransomware — соб­ран на базе конс­трук­тора EDA2 и тре­бует фик­сирован­ную пла­ту за рас­шифров­ку — 0,1 BTC;
• CryptoLocker — леген­дарный ста­ричок, сумев­ший зас­тавить аме­рикан­ских копов рас­кошелить­ся на 500 дол­ларов;
• Andr0id L0cker — мобиль­ный вымога­тель, который бло­киру­ет дос­туп к Android;
• Shark Ransomware — был запущен как RaaS в клир­нете в 2016 году.

К сло­ву, Andr0id L0cker — единс­твен­ный мобиль­ный вымога­тель, выс­тавлен­ный на про­дажу на посещен­ных мной теневых рын­ках.

4. WannaCry за 150 долларов

Тро­ян «ХочуП­лакать» еще рано хоронить, ведь в пер­вом квар­тале это­го года на его долю приш­лось 40,5% обна­ружен­ных слу­чаев зараже­ния. Но пос­ле эпи­демии вируса в 2017 году Microsoft выпус­тила пат­чи для вер­сий ОС вплоть до XP, где была устра­нена уяз­вимость, которую экс­плу­ати­ровал WannaCry. Поэто­му пер­воначаль­ная сбор­ка прог­раммы‑шан­тажис­та уже не может уста­новить бэк­дор для заг­рузки и запус­ка исполня­емо­го фай­ла на подав­ляющем боль­шинс­тве компь­юте­ров.

5. Модульный троян LimeRAT за 89 евро

Мно­гофун­кци­ональ­ный вре­донос, раз­работан­ный для шиф­рования дан­ных на жес­тком дис­ке и флеш­ках, уста­нов­ки май­нера XMR, кра­жи дан­ных о крип­токошель­ках и выпол­нения DDoS-атак. Рас­простра­няет­ся через фай­лы Excel и USB-накопи­тели, уме­ет само­уда­лять­ся, если обна­ружит вир­туаль­ную машину.

6. Исходный код Blackmail Bitcoin Ransomware кастомной сборки за 15 долларов

Лю­бопыт­ный вари­ант вре­доно­са, который мож­но исполь­зовать как обыч­ный шиф­роваль­щик и инс­тру­мент для кра­жи Bitcoin. В режиме вымога­теля прог­рамма шиф­рует фай­лы на устрой­стве и тре­бует выкуп. В фор­мате сти­лера тро­ян рас­позна­ёт адре­са BTC в буфере обме­на и модифи­циру­ет их. Если жер­тва ско­пипас­тит и не про­верит адрес, то бит­ки уйдут в кошелек хакера.

7. Модульный вредонос DiamondFox за 1000 долларов

Вер­сия DiamondFox, выпущен­ного в 2017 году, с обновле­ниями от 17 мар­та 2020 года. Рас­простра­няет­ся толь­ко с помощью USB-накопи­телей и сос­тоит из девяти эле­мен­тов:

• Cookie Grabber — вору­ет куки из бра­узе­ров Firefox, Google Chrome и Microsoft Edge;
• Botkiller — находит и уда­ляет вре­донос­ные скрип­ты;
• Video Recorder — записы­вает дей­ствия юзе­ра на экра­не;
• прог­рамма‑шан­тажист — авто­мати­чес­ки рас­шифро­выва­ет дан­ные пос­ле под­твержде­ния перево­да выкупа;
• крип­товалют­ный сти­лер — меня­ет адре­са BTC, BCH, LTC, ETH, DOGE, DASH, XMR, NEO и XRP;
• кей­лог­гер — регис­три­рует и переда­ет информа­цию о нажатии кла­виш, при­вязан­ную к дате и вре­мени;
• файл‑сти­лер — ска­чива­ет фай­лы выб­ранно­го фор­мата и опре­делен­ного раз­мера;
• сти­лер паролей из бра­узе­ров и мес­сен­дже­ров;
• бот для Windows x64 и x86.

Ди­лер не опуб­ликовал под­робную информа­цию о прог­рамме‑вымога­теле. Но, учи­тывая ее низ­кую сто­имость (60 дол­ларов), рис­кну пред­положить, что это опен­сор­сный про­ект или модифи­кация уста­рев­шей мал­вари.

8. Ransomware 2020 за 49 долларов

Про­давец не написал наз­вание вре­доно­са, но заявил, что он был соз­дан в 2020 году и его не может обна­ружить ни один анти­вирус. По сло­вам вен­дора, мал­варь исполь­зует алго­ритм шиф­рования AES и откры­вает на заражен­ном компь­юте­ре тек­сто­вый файл с тре­бова­нием о выкупе в крип­товалю­те.

9. Blackmail Bitcoin Ransomware с исходным кодом за 40 долларов

Прог­рамма‑вымога­тель рас­простра­няет­ся через флеш­ки и уста­новоч­ные фай­лы, ска­чан­ные в интерне­те. Для USB-накопи­теля сущес­тву­ет опция авто­мати­чес­кого запус­ка вре­доно­са через опре­делен­ный вре­мен­ной про­межу­ток. Осо­бен­но при­ятно, что в ком­плект вхо­дит руководс­тво по при­мене­нию.

10. Исходный код пяти программ-шантажистов Bitcoin Ransomware за 18 долларов

В эту под­борку вклю­чены сов­ремен­ные вре­доно­сы, а так­же инс­трук­ции по их кон­фигура­ции и рас­простра­нению. Наз­вания мал­вари дер­жатся в сек­рете, но вен­дор сооб­щил, что все прог­раммы новые и под­ходят для вымога­тель­ства вир­туаль­ных валют.

А вот рус­ский дар­кнет, как обыч­но, разоча­ровал. На рус­ско­языч­ных тор­говых пло­щад­ках и форумах не про­дают прог­раммы‑вымога­тели и не пре­дос­тавля­ют услу­ги орга­низа­ции атак, потому что модера­торы плат­форм банят за RaaS. Куда ни кинь, вез­де толь­ко вещес­тва, кар­динг и про­бивы.

ШАНТАЖ ПОД КЛЮЧ

Сей­час в дар­кве­бе работа­ют две пол­ноцен­ные плат­формы RaaS, соз­данные для авто­мати­зации и опти­миза­ции рас­простра­нения мал­вари и получе­ния выкупа. У пло­щадок раз­ный modus operandi и усло­вия сот­рудни­чес­тва, но их объ­еди­няет одно — девело­перы не про­дают исходный код вре­доно­сов.

Ranion

Вла­дель­цы пло­щад­ки пред­лага­ют при­обрести сер­висный пакет, в который вхо­дят:

• рас­положен­ная в Tor панель управле­ния для менед­жмен­та клю­чей;
• рас­шифров­щик;
• ад­дон для перево­да тек­ста бан­нера с тре­бова­нием о выкупе на опре­делен­ный язык и добав­ления рас­ширений фай­лов в спи­сок под­держи­ваемых.

Что­бы получить дос­туп к услу­ге, вла­дель­цы про­сят перевес­ти день­ги в Bitcoin и отпра­вить пись­мо на их элек­трон­ную поч­ту, сооб­щив свой адрес BTC, сум­му выкупа, email для свя­зи с кли­ента­ми и спи­сок аддо­нов. Пос­ле под­твержде­ния пла­тежа вла­дель­цы пло­щад­ки обе­щают выс­лать:

• ис­полня­емый файл прог­раммы‑вымога­теля для устрой­ств на Windows x86 и x64, которая при­меня­ет алго­ритм шиф­рования AES;
• дек­риптор для рас­шифров­ки дан­ных;
• ссыл­ку на панель управле­ния в дар­кве­бе.

Пос­ле запус­ка экзешни­ка на компь­юте­ре жер­твы мал­варь зашиф­рует все фай­лы с 43 рас­ширени­ями из спис­ка (нап­ример, .txt, .docx, .jpeg и .rar), сге­нери­рует ключ и отпра­вит его в панель управле­ния. На монито­ре заражен­ной машины появит­ся сооб­щение с тре­бова­нием о выкупе. В пре­дуп­режде­нии будет ука­зан адрес крип­токошель­ка и email для свя­зи. Если пос­тра­дав­ший не переве­дет бит­ки за семь дней, то ключ для дешиф­ровки будет уда­лен.

По­лучив крип­товалю­ту от жер­твы, ата­кующий дол­жен запус­тить дек­риптор, вста­вить ключ жер­твы и выб­рать опцию Decrypt My Files. Пос­ле это­го фай­лы будут авто­мати­чес­ки рас­шифро­ваны.

Вре­донос под­держи­вает опцию отло­жен­ного запус­ка и шиф­рования, отклю­чает дис­петчер задач, меня­ет обои на рабочем сто­ле и отсле­жива­ет IP устрой­ства. Помимо это­го, пред­лага­ется при­обрести допол­нитель­ный обфуска­тор и уни­каль­ный .onion-адрес (будет написан на бан­нере) за 90 дол­ларов. Под­писка на сер­вис на один месяц сто­ит 120 дол­ларов, на шесть месяцев — 490 дол­ларов, на год — 900 дол­ларов.

По сло­вам авто­ров про­екта, 85% анти­виру­сов не находят Ranion, оставши­еся 15% вно­сят файл в спи­сок подоз­ритель­ных или нежела­тель­ных прог­рамм. Раз­работ­чики регуляр­но апдей­тят вре­донос и обе­щают рас­сылать обновлен­ные вер­сии под­писчи­кам на элек­трон­ную поч­ту. Пос­ледний на момент написа­ния статьи апгрейд был выпущен в сен­тябре 2020 года. Девело­перы утвер­жда­ют, что рас­простра­няют ПО сугубо в науч­ных целях, что­бы снять с себя ответс­твен­ность за незакон­ные дей­ствия кли­ентов.

Сот­рудни­ки сай­та Virus Total ус­танови­ли, что в 2017 году экзешник Ranion детек­тирова­ли 41 из 60 анти­виру­сов. Вер­сию RANION v1.11, выпущен­ную в сен­тябре 2020 года, на дан­ный момент еще не про­веря­ли. Мал­варь не шиф­рует теневые копии фай­лов, бла­года­ря это­му дан­ные мож­но вос­ста­новить с помощью бэкапа. Тем не менее информа­цию не получит­ся рас­шифро­вать дек­рипто­рами, раз­работан­ными экспер­тами по кибер­безопас­ности, потому что вре­донос соз­дает уни­каль­ные клю­чи.

Smaug

Пло­щад­ка была откры­та в мае 2020 года и позици­они­рует себя как ведущий про­ект в сфе­ре RaaS. Регис­тра­ция на плат­форме сто­ит 0,2 BTC (2137 дол­ларов по текуще­му кур­су). Пос­ле вне­сения пла­тежа поль­зователь получа­ет дос­туп к учет­ной записи и может соз­дать кам­панию по зараже­нию компь­юте­ров, выб­рав одну из двух опций:

• обыч­ная (для каж­дого устрой­ства соз­дает­ся уни­каль­ный ключ);
• ин­сти­туци­ональ­ная (шиф­рует дан­ные на нес­коль­ких гад­жетах, исполь­зуя один ключ).

Су­дя по инс­трук­ции, каж­дой кам­пании мож­но прис­воить про­изволь­ное наз­вание, ввес­ти раз­мер выкупа в Bitcoin, написать сооб­щение, которое будут видеть жер­твы, и задать срок дей­ствия. Затем нуж­но выб­рать опе­раци­онную сис­тему (Windows, Linux или macOS), нажать на кноп­ку Create и ска­чать исполня­емый файл прог­раммы‑вымога­теля.

Вре­донос шиф­рует фай­лы на устрой­стве жер­твы и откры­вает тек­сто­вый документ, в котором ука­зана ссыл­ка на пор­тал Smaug.

Сер­вис пре­дос­тавля­ет ключ для дек­рипта информа­ции пос­ле перево­да необ­ходимой сум­мы в BTC, но дает воз­можность рас­шифро­вать один файл бес­плат­но в тес­товом режиме. Плат­форма взи­мает комис­сию 20% за все тран­закции и авто­мати­чес­ки начис­ляет Bitcoin в кошелек аген­та. Smaug ведет ста­тис­тику кам­пании по трем показа­телям: сум­ме вып­лат, чис­лу посети­телей и количес­тву пла­тежей.

Мал­варь шиф­рует информа­цию толь­ко на жес­тком дис­ке компь­юте­ра и самос­тоятель­но не рас­простра­няет­ся по локаль­ной сети, что­бы сок­ратить веро­ятность обна­руже­ния анти­виру­сом. Раз­работ­чики Smaug зап­реща­ют выпол­нять ата­ки на тер­ритории стран СНГ, кро­ме того, сер­вис начали пиарить на рус­ско­языч­ном форуме в дар­кне­те, поэто­му скла­дыва­ется впе­чат­ление, что за соз­дани­ем плат­формы сто­ят выход­цы из Сод­ружес­тва. Сер­вис берет высокую комис­сию и огромную пла­ту за регис­тра­цию, но сер­вер сай­та работа­ет нес­табиль­но и пери­оди­чес­ки отклю­чает­ся. То ли с под­дер­жкой не все глад­ко, то ли кон­курен­ты дидосят.

В кон­це сен­тября работ­ники Virus Total про­тес­тирова­ли эффектив­ность исполь­зования анти­виру­сов для борь­бы со Smaug и выяс­нили, что 44 из 67 прог­рамм смог­ли его иден­тифици­ровать. Вре­донос уда­ляет исходные фай­лы пос­ле шиф­рования и генери­рует уни­каль­ные клю­чи, поэто­му дек­рипто­ры не работа­ют. Из‑за это­го пос­тра­дав­шим, которые хотят вос­ста­новить дос­туп к информа­ции, не оста­ется ничего ино­го, кро­ме как зап­латить выкуп. Одна­ко вирус не уда­ляет резер­вные и теневые копии фай­лов, поэто­му бэкап — самая надеж­ная защита от Smaug.

ВЫВОДЫ

Стать низ­шим зве­ном в кибер­прес­тупной пирами­де в наши вре­мена лег­че лег­кого, и цены на вре­донос­ное ПО начина­ются с несерь­езных 15 дол­ларов. Но, я думаю, ты отлично понима­ешь, почему раз­работ­чики прог­рамм‑вымога­телей вмес­то того, что­бы при­менять свои тво­рения, про­дают их по под­писке подоб­но Office 365 и Adobe CS. Сто­ит записать­ся в эту оче­редь, и ты гаран­тирован­но ста­нешь край­ним.

Источник

Автор публикации

не в сети 8 часов

Андрей Маргулис

335

С организацией DDoS атак завязал.
Выкладываю новости технологий и интересные статьи с темной стороны интернета.

32 года

День рождения: 14 Мая 1991

Комментарии: 117Публикации: 3005Регистрация: 12-12-2015