Перейти к содержанию
Викторина по домашним продуктам "Лаборатории Касперского"

Шифровальщик .hop_dec Decodehop@proton.me

Reinecke
 Share Подписчики 1

Рекомендуемые сообщения

Reinecke

Reinecke 0

Опубликовано
Опубликовано

Добрый день!

 

Зашифровались все файлы на двух рабочих компьютерах... для восстановления доступа требуют отправить данные на адреса Decodehop@proton.me или hopdec@aidmail.cc. 

От отчаяния отправлял письма на эти адреса, но пришел ответ что не существуют данные почты... Есть ли возможность спасти данные и расшифровать все?

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов + записку о выкупе + логи FRST с одного из зашифрованных устройств.

«Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты
Reinecke

Reinecke 0

Опубликовано
  • Автор
Опубликовано

Прошу прощение, что не изучил тему. Вопрос срочный и все на нервах... Самое, что смешное, неделю назад сделали запрос коммерческого на закупку ПО Касперского....

FRST + Требования + файлы.zip

 

Кажется как нашел сам файл вируса. Пароль архива virus

Есть еще подозрительные файлы mimikatz_trunk, но архив весит 20мб +

hope last final.7z

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)

Возможно, что это Voidcrypt/Ouroboros.

добавьте еще эти файлы в архиве без пароля.

2024-09-07 22:13 - 2024-09-07 22:13 - 000002032 _____ C:\Windows\system32\HOP.KEY
2024-09-07 22:13 - 2024-09-07 22:13 - 000000398 _____ C:\ProgramData\pkey.txt
2024-09-07 22:13 - 2024-09-07 22:13 - 000000015 _____ C:\ProgramData\IDk.txt
 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано
3 часа назад, safety сказал:

Возможно, что это Voidcrypt/Ouroboros.

Судя по детектам на Virustotal.com - это действительно VoidCrypt/Ouroboros,

 

По маске зашифрованных файлов другие примеры шифрования:

IMG_0375.JPG.(MJ-KN4659801732)(aaleenthomas@gmail.com).GAYGUY

Release Notes.txt.[MJ-VJ0189672354](imsystemsavior@gmail.com).MrWhite

Снимок_02.PNG.(MJ-HJ7431869520)(filescoder@gmail.com).MRN

3 часа назад, Reinecke сказал:

Прикрепляю

HOP.KEY - скорее всего зашифрованный сессионный приватный ключ, который нужен для расшифровки ваших файлов. pkey.txt публичный ключ которым было выполнено шифрования. Приватной части данного ключа нет.

Ссылка на сообщение
Поделиться на другие сайты
Reinecke

Reinecke 0

Опубликовано
  • Автор
Опубликовано

То есть решения данной проблемы нет... Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

7 минут назад, safety сказал:

Судя по детектам на Virustotal.com - это действительно VoidCrypt/Ouroboros,

 

По маске зашифрованных файлов другие примеры шифрования:

IMG_0375.JPG.(MJ-KN4659801732)(aaleenthomas@gmail.com).GAYGUY

Release Notes.txt.[MJ-VJ0189672354](imsystemsavior@gmail.com).MrWhite

Снимок_02.PNG.(MJ-HJ7431869520)(filescoder@gmail.com).MRN

HOP.KEY - скорее всего зашифрованный сессионный приватный ключ, который нужен для расшифровки ваших файлов. pkey.txt публичный ключ которым было выполнено шифрования. Приватной части данного ключа нет.

 

То есть решения данной проблемы нет... Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)
2 часа назад, Reinecke сказал:

Дело еще в том, что не удается связаться по указанным адресам почт, для покупки дешифратора...

Этот ключ отсылали согласно инструкции?

RSAKEY-SE-24r6t523 pr HOPKEY.KEY

Обращаю внимание, что по предыдущим вариантам *.MRN, *.MrWhite пострадавшие оплачивали ключ и дешифратор, но не могли ими воспользоваться для расшифровки.

3 минуты назад, Reinecke сказал:

Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

При наличие лицензии на продукт Касперского стоит это сделать. Чтобы получить официальный ответ от антивирусной лаборатории о возможности/или невозможности расшифровки по данному типу.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Reinecke

Reinecke 0

Опубликовано
  • Автор
Опубликовано
3 минуты назад, safety сказал:

Этот ключ отсылали согласно инструкции?

RSAKEY-SE-24r6t523 pr HOPKEY.KEY

Обращаю внимание, что по предыдущим вариантам *.MRN, *.MrWhite пострадавшие оплачивали ключ и дешифратор, но не могли ими воспользоваться для расшифровки.

При наличие лицензии на продукт Касперского стоит это сделать. Чтобы получить официальный ответ о возможности/или невозможности расшифровки.

Да, отсылали этот ключ... При отправки с @mail.ru приходит ответ, что данная почта не существует. При отправки @gmail.com в ответ полная тишина. 

Лицензия есть, будем пробовать

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)
6 минут назад, Reinecke сказал:

Да, отсылали этот ключ... При отправки с @mail.ru приходит ответ, что данная почта не существует. При отправки @gmail.com в ответ полная тишина. 

Возможно, почту злоумышленников уже заблокировали, возможно с mail.ru не принимают почту, возможно gmail не пропускает архивные вложения определенного типа, или защищенные паролем.

 

Ouroboros давно не было, пожалуй в течение этого года. Возможно у них проблемы с некорректной работой дешифратора.

 

+ проверьте ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Nurik332
      Помогите с вирусом Recoverifiles@gmail.com.Recov
      От Nurik332
      Добрый день! Есть ли дешифровальшик вируса (file name).recov вируса ?
    • I_CaR
      Произошёл взлом через RDP - зашифровали сервера. Возможна ли расшифровка файлов каким-либо ПО?
      От I_CaR
      Здравствуйте.
      27.11.2023 была атака на сеть предприятия по RDP(зашли по 3389 порту на ПК администратора системы). Далее, через ПК администратора, были также по RDP заражены ещё 2 сервера предприятия.
      Вложения:
      "unlock-info.txt" - письмо от мошенников. Вирус немного похож на ouroboros (Так его детектировал Eset).
      Внутри архива сам вирус-шифрователь *.exe (пароль к архиву 12345).
      ---
      Заранее благодарен за внимание к проблеме.
      Очень надеюсь на положительный результат.
      unlock-info.txt filescoder@gmail.com(пароль_на_архив_12345).rar
    • Apdate2018
      Зашифровали сервер нужна помощь
      От Apdate2018
      День добрый! зашифровали сервер 
       
      расширение файлов тепреь .[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      но, я на шел на сервере  файла в каталоге ProgramData
       
      pkey.txt
      IDk.txt
      RSAKEY.KEY
      а так же файл prvkey.txt..[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      не знаю можно ли распространять эти файлы поэтому их не прилагаю да и побаиваюсь я втыкать в тот комп свою флешку 
       
      в общем есть ли возможность восстановления?

      есть так же файл оригинал большого размера и файл точно такой ж ено зашифрованный
       
      поможете?
    • Дмитрий Казакевич
      Помогите с вирусом [MJ-*](Recoverifiles@gmail.com).Recov
      От Дмитрий Казакевич
      Во вложении есть ключ присланный шифровальщиками
      Вірус.rar Addition.txt FRST.txt
    • Dimon77
      Зашифрованы файлы на сервере .RYCRYPT, просьба помочь
      От Dimon77
      Все общие папки на сервере+ все папки ползователей на терминальнике.
       
      unlock-info.txt BAD.zip
×
×
  • Создать...