Перейти к содержанию

Шифровальщик HONEYHORSELIKESMONEY


Рекомендуемые сообщения

Сергей Лукьянов

Добрый день!

 

Шифровальщик HONEYHORSELIKESMONEY зашифровал файлы в папке на компьютере, которая была доступна в сети для чтения и записи.

Высылаю архив с зашифрованными двумя файлами, и их оригиналами (смог найти на компьютере), а так же письмо вымогателя.

 

Пытался восстановить файлы разными расшифровщиками.

Расшифровать смог только decrypt_Avest от Emsisoft https://www.emsisoft.com/en/ransomware-decryption/avest, но, к сожалению, только первые 384 байта, и только того файла, который я ему передал, как образец для подбора ключа.

 

Так как вирус не на моем компьютере, то логи не высылаю.

HONEYHORSELIKESMONEY.zip

Ссылка на сообщение
Поделиться на другие сайты
Сергей Лукьянов

Есть ли у Вас информацию о шифровальщике Avest? Алгоритм шифрования?

 

Если его дешифровщик расшифровывает HONEYHORSELIKESMONEY, то, скорее всего, у них похожие алгоритмы шифрования.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Сергей Лукьянов сказал:

но, к сожалению, только первые 384 байта

Это ведь не является свидетельством того, что дешифровщик работает для нужного вам типа вымогателя.

Ссылка на сообщение
Поделиться на другие сайты
Сергей Лукьянов

Да, дешифровщик не работает, иначе, бы я здесь не писал.

 

Но, алгоритм шифрования у них схожие, Вы его знаете? Для вируса Avest?

Ссылка на сообщение
Поделиться на другие сайты

Нет, лично у меня нет связи с разработчиком того дешифратора.

Могу только сообщить, что на подобном принципе работают несколько утилит. Только для этой версии пока никто не выпустил (по крайней мере мне об этом не известно).

Уточню, консультанты этого раздела форума не являются сотрудниками ЛК. Если ждёте официального ответа, его нужно задавать в тех-поддержке.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Владимир В. А.
      От Владимир В. А.
      Добрый день!
       
      Windows 7 Pro x64
      Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).
      В дальнейшем предполагаю переставить систему.
       
      Addition.txt files.zip FRST.txt
    • Zakhar Sergeich
      От Zakhar Sergeich
      Добрый день.
      При очистке ПК нашлись трояны mimikatz и mimilove.
      Есть ли шансы расшифровать?
      Desktop.zip Addition.txt FRST.txt
    • Drugov
      От Drugov
      Бодрый день, файлы с расширением doc xls pdf были переименованы в doc.PODSTAVLIAIPOPKU  xls.PODSTAVLIAIPOPKU  pdf.PODSTAVLIAIPOPKU. Подскажите как избавиться от самого вируса, расшифровывать не надо, есть бекап. Прилагаю файлы addition FRST. Заранее благодарен.
      Addition.txt FRST.txt
    • печалька
      От печалька
      Добрый День, поймали вирус шифровальщик, который аномально странно все зашифровал, удалил резервные копии Windows и ограничил в действиях ( нельзя зайти в панель управления, безопасный режим, выключить компьютер и т.д)
      Расширение файлов, тоже очень странное PODSAVLIAIPOPKU
      выдал информацию Trojan-PSW.Win32.Mimikatz.gen, Trojan.Win32.Generetic и Trojan-PSW.Win32.Mimilove.gen.
      В письме указали:
       
      PODSTAVLIAIPOPKU Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - hhK9RYMlcsT41PQRP2piv8vBwFjL0Ga7sPRpzXCiNnY*PODSTAVLIAIPOPKU
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PODSTAVLIAIPOPKU
      3)SKYPE - PODSTAVLIAIPOPKU Decryption
       
      Как, стало позже понятно, Файлы зашифрованы Trojan.Encoder.35534.
       
      К сожелению пока самостоятельно не удалось найти дешифровщик.
       
       
       
      PODSTAVLIAIPOPKU_DECRYPTION.txt
    • Lumen42
      От Lumen42
      Сегодня обнаружили зашифрованный сервер на ОС Windows Server 2008. С прекрипленными сообщениями во всех файлах:
      Panin Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - jbx8rpLn3oxEIhsjTsxJ0cPNxgMViN6Z2ymanqkvDHA*PANIN
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PANIN
      3)SKYPE - Panin Decryption
       
      Взлом предположительно был через RDP (пароль стоял стоковый)
      Addition.txt FRST.txt Desktop.rar
×
×
  • Создать...