Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Шифровальщик .hop_dec Decodehop@proton.me

Reinecke
 Поделиться

Рекомендуемые сообщения

Reinecke Новичок

Reinecke

Опубликовано
Опубликовано

Добрый день!

 

Зашифровались все файлы на двух рабочих компьютерах... для восстановления доступа требуют отправить данные на адреса Decodehop@proton.me или hopdec@aidmail.cc. 

От отчаяния отправлял письма на эти адреса, но пришел ответ что не существуют данные почты... Есть ли возможность спасти данные и расшифровать все?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов + записку о выкупе + логи FRST с одного из зашифрованных устройств.

«Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
Reinecke Новичок

Reinecke

Опубликовано
  • Автор
Опубликовано

Прошу прощение, что не изучил тему. Вопрос срочный и все на нервах... Самое, что смешное, неделю назад сделали запрос коммерческого на закупку ПО Касперского....

FRST + Требования + файлы.zip

 

Кажется как нашел сам файл вируса. Пароль архива virus

Есть еще подозрительные файлы mimikatz_trunk, но архив весит 20мб +

hope last final.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно, что это Voidcrypt/Ouroboros.

добавьте еще эти файлы в архиве без пароля.

2024-09-07 22:13 - 2024-09-07 22:13 - 000002032 _____ C:\Windows\system32\HOP.KEY
2024-09-07 22:13 - 2024-09-07 22:13 - 000000398 _____ C:\ProgramData\pkey.txt
2024-09-07 22:13 - 2024-09-07 22:13 - 000000015 _____ C:\ProgramData\IDk.txt
 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
3 часа назад, safety сказал:

Возможно, что это Voidcrypt/Ouroboros.

Судя по детектам на Virustotal.com - это действительно VoidCrypt/Ouroboros,

 

По маске зашифрованных файлов другие примеры шифрования:

IMG_0375.JPG.(MJ-KN4659801732)(aaleenthomas@gmail.com).GAYGUY

Release Notes.txt.[MJ-VJ0189672354](imsystemsavior@gmail.com).MrWhite

Снимок_02.PNG.(MJ-HJ7431869520)(filescoder@gmail.com).MRN

3 часа назад, Reinecke сказал:

Прикрепляю

HOP.KEY - скорее всего зашифрованный сессионный приватный ключ, который нужен для расшифровки ваших файлов. pkey.txt публичный ключ которым было выполнено шифрования. Приватной части данного ключа нет.

Ссылка на комментарий
Поделиться на другие сайты
Reinecke Новичок

Reinecke

Опубликовано
  • Автор
Опубликовано

То есть решения данной проблемы нет... Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

7 минут назад, safety сказал:

Судя по детектам на Virustotal.com - это действительно VoidCrypt/Ouroboros,

 

По маске зашифрованных файлов другие примеры шифрования:

IMG_0375.JPG.(MJ-KN4659801732)(aaleenthomas@gmail.com).GAYGUY

Release Notes.txt.[MJ-VJ0189672354](imsystemsavior@gmail.com).MrWhite

Снимок_02.PNG.(MJ-HJ7431869520)(filescoder@gmail.com).MRN

HOP.KEY - скорее всего зашифрованный сессионный приватный ключ, который нужен для расшифровки ваших файлов. pkey.txt публичный ключ которым было выполнено шифрования. Приватной части данного ключа нет.

 

То есть решения данной проблемы нет... Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
2 часа назад, Reinecke сказал:

Дело еще в том, что не удается связаться по указанным адресам почт, для покупки дешифратора...

Этот ключ отсылали согласно инструкции?

RSAKEY-SE-24r6t523 pr HOPKEY.KEY

Обращаю внимание, что по предыдущим вариантам *.MRN, *.MrWhite пострадавшие оплачивали ключ и дешифратор, но не могли ими воспользоваться для расшифровки.

3 минуты назад, Reinecke сказал:

Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

При наличие лицензии на продукт Касперского стоит это сделать. Чтобы получить официальный ответ от антивирусной лаборатории о возможности/или невозможности расшифровки по данному типу.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Reinecke Новичок

Reinecke

Опубликовано
  • Автор
Опубликовано
3 минуты назад, safety сказал:

Этот ключ отсылали согласно инструкции?

RSAKEY-SE-24r6t523 pr HOPKEY.KEY

Обращаю внимание, что по предыдущим вариантам *.MRN, *.MrWhite пострадавшие оплачивали ключ и дешифратор, но не могли ими воспользоваться для расшифровки.

При наличие лицензии на продукт Касперского стоит это сделать. Чтобы получить официальный ответ о возможности/или невозможности расшифровки.

Да, отсылали этот ключ... При отправки с @mail.ru приходит ответ, что данная почта не существует. При отправки @gmail.com в ответ полная тишина. 

Лицензия есть, будем пробовать

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
6 минут назад, Reinecke сказал:

Да, отсылали этот ключ... При отправки с @mail.ru приходит ответ, что данная почта не существует. При отправки @gmail.com в ответ полная тишина. 

Возможно, почту злоумышленников уже заблокировали, возможно с mail.ru не принимают почту, возможно gmail не пропускает архивные вложения определенного типа, или защищенные паролем.

 

Ouroboros давно не было, пожалуй в течение этого года. Возможно у них проблемы с некорректной работой дешифратора.

 

+ проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Kirill-Ekb
      Шифровальщик ELENOR-corp
      Автор Kirill-Ekb
      Приветствую
       
      По RDP в локальной сети распространился и зашифровал файлы ELENOR-corp на нескольких компьютерах.
      Во вложении файлы диагностики Farbar Recovery Scan Tool и архив с требованием и двумя небольшими зашифрованными файлами - всё с одного компьютера.
      Также есть файл вируса - готов предоставить по необходимости
      Основная цель: расшифровать файлы
      Addition.txt FRST.txt Требование и пример файлов.7z
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
×
×
  • Создать...