Перейти к содержанию

Шифровальщик .hop_dec Decodehop@proton.me

Reinecke
 Поделиться

Рекомендуемые сообщения

Reinecke

Reinecke

Опубликовано
Опубликовано

Добрый день!

 

Зашифровались все файлы на двух рабочих компьютерах... для восстановления доступа требуют отправить данные на адреса Decodehop@proton.me или hopdec@aidmail.cc. 

От отчаяния отправлял письма на эти адреса, но пришел ответ что не существуют данные почты... Есть ли возможность спасти данные и расшифровать все?

Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано

Прошу прощение, что не изучил тему. Вопрос срочный и все на нервах... Самое, что смешное, неделю назад сделали запрос коммерческого на закупку ПО Касперского....

FRST + Требования + файлы.zip

 

Кажется как нашел сам файл вируса. Пароль архива virus

Есть еще подозрительные файлы mimikatz_trunk, но архив весит 20мб +

hope last final.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно, что это Voidcrypt/Ouroboros.

добавьте еще эти файлы в архиве без пароля.

2024-09-07 22:13 - 2024-09-07 22:13 - 000002032 _____ C:\Windows\system32\HOP.KEY
2024-09-07 22:13 - 2024-09-07 22:13 - 000000398 _____ C:\ProgramData\pkey.txt
2024-09-07 22:13 - 2024-09-07 22:13 - 000000015 _____ C:\ProgramData\IDk.txt
 

Изменено пользователем safety
Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано

Прикрепляю

idk hop pkey.7z

 

Дело еще в том, что не удается связаться по указанным адресам почт, для покупки дешифратора.... 

safety

safety

Опубликовано
Опубликовано
3 часа назад, safety сказал:

Возможно, что это Voidcrypt/Ouroboros.

Судя по детектам на Virustotal.com - это действительно VoidCrypt/Ouroboros,

 

По маске зашифрованных файлов другие примеры шифрования:

IMG_0375.JPG.(MJ-KN4659801732)(aaleenthomas@gmail.com).GAYGUY

Release Notes.txt.[MJ-VJ0189672354](imsystemsavior@gmail.com).MrWhite

Снимок_02.PNG.(MJ-HJ7431869520)(filescoder@gmail.com).MRN

3 часа назад, Reinecke сказал:

Прикрепляю

HOP.KEY - скорее всего зашифрованный сессионный приватный ключ, который нужен для расшифровки ваших файлов. pkey.txt публичный ключ которым было выполнено шифрования. Приватной части данного ключа нет.

Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано

То есть решения данной проблемы нет... Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

7 минут назад, safety сказал:

Судя по детектам на Virustotal.com - это действительно VoidCrypt/Ouroboros,

 

По маске зашифрованных файлов другие примеры шифрования:

IMG_0375.JPG.(MJ-KN4659801732)(aaleenthomas@gmail.com).GAYGUY

Release Notes.txt.[MJ-VJ0189672354](imsystemsavior@gmail.com).MrWhite

Снимок_02.PNG.(MJ-HJ7431869520)(filescoder@gmail.com).MRN

HOP.KEY - скорее всего зашифрованный сессионный приватный ключ, который нужен для расшифровки ваших файлов. pkey.txt публичный ключ которым было выполнено шифрования. Приватной части данного ключа нет.

 

То есть решения данной проблемы нет... Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

safety

safety

Опубликовано
Опубликовано (изменено)
2 часа назад, Reinecke сказал:

Дело еще в том, что не удается связаться по указанным адресам почт, для покупки дешифратора...

Этот ключ отсылали согласно инструкции?

RSAKEY-SE-24r6t523 pr HOPKEY.KEY

Обращаю внимание, что по предыдущим вариантам *.MRN, *.MrWhite пострадавшие оплачивали ключ и дешифратор, но не могли ими воспользоваться для расшифровки.

3 минуты назад, Reinecke сказал:

Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

При наличие лицензии на продукт Касперского стоит это сделать. Чтобы получить официальный ответ от антивирусной лаборатории о возможности/или невозможности расшифровки по данному типу.

Изменено пользователем safety
Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано
3 минуты назад, safety сказал:

Этот ключ отсылали согласно инструкции?

RSAKEY-SE-24r6t523 pr HOPKEY.KEY

Обращаю внимание, что по предыдущим вариантам *.MRN, *.MrWhite пострадавшие оплачивали ключ и дешифратор, но не могли ими воспользоваться для расшифровки.

При наличие лицензии на продукт Касперского стоит это сделать. Чтобы получить официальный ответ о возможности/или невозможности расшифровки.

Да, отсылали этот ключ... При отправки с @mail.ru приходит ответ, что данная почта не существует. При отправки @gmail.com в ответ полная тишина. 

Лицензия есть, будем пробовать

safety

safety

Опубликовано
Опубликовано (изменено)
6 минут назад, Reinecke сказал:

Да, отсылали этот ключ... При отправки с @mail.ru приходит ответ, что данная почта не существует. При отправки @gmail.com в ответ полная тишина. 

Возможно, почту злоумышленников уже заблокировали, возможно с mail.ru не принимают почту, возможно gmail не пропускает архивные вложения определенного типа, или защищенные паролем.

 

Ouroboros давно не было, пожалуй в течение этого года. Возможно у них проблемы с некорректной работой дешифратора.

 

+ проверьте ЛС.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • copypaste
      Шифровальщик. Предположительно из семейства Dharma/Crysis
      Автор copypaste
      Доброго дня. 
       
      Коснулась напасть сия.
      Шифровщика по окончанию злодеяния нет. 
      Во вложении:
      1. Логи FRST
      2. Результат проверки KVRT
      3. Пример зашифрованных файлов + KEY файл и письмо Decryption
       
      Спасибо заранее за уделенное время.
      crypt.rar FRST.rar KVRT2020_Data.rar
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Oleg P
      Зашифрована ОС Windows Server 2016
      Автор Oleg P
      Коллеги.ю добрый день.
      Зашифрован сервер с ОС Windows Server 2016 - предположительно, через уязвимость в протоколе RDP. Прилагаются следующие файлы:
      - Примеры зашифрованных файлов (3 шт.)
      - Открытый ключ шифрования (исходное расширение - key)
      - Баннер, оставленный злоумышленниками
      - Письмо, полученное от злоумышленников в ответ на письмо, отправленное нами (со всеми метаданными)
      Система не загружается ни в каком режиме, т.к. системные файлы, предположительно, также зашифрованы.
      Исходное расширение зашифрованных файлов - wixawm
      Ждем дальнейших инструкций.
      Заранее спасибо за помощь.
      Thumbs.db,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt Выигранные тендеры.xlsx,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt Обеспечение контракта - деньги.docx,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt RSAKEY-MJ-IZ0643158279.txt Decryption-Guide.txt Fwd Your Case ID MJ-OS3547089612 - free-daemon@yandex.ru - 2021-12-13 1414.txt
    • negativv666
      Расшифровка файлов
      Автор negativv666
      Добрый день. Зашифровались файлы.
      В архиве Desktop  - письмо от шифровальщика и два зашифрованных файла.
      В архиве ProramData  - файлы prvkey.txt.key которые нужно отправить взломщику. Пароль на этот архив  - virus.
      kixonw@gmail.com - Это архив предположительно с вирусом. Пароль на архив  - virus.
      Касперский определил этот файл как - virus.win32.neshta.a
      Desktop.rar ProgramData.rar kixonw@gmail.com.rar
    • lexmith
      Поймал шифровальщик [heygol552@gmail.com]
      Автор lexmith
      Будем благодарны за помощь если это возможно.
      txt_files.zip
      encryt_files.zip
×
×
  • Создать...