Перейти к содержанию

Шифровальщик .hop_dec Decodehop@proton.me

Reinecke
 Поделиться

Рекомендуемые сообщения

Reinecke

Reinecke

Опубликовано
Опубликовано

Добрый день!

 

Зашифровались все файлы на двух рабочих компьютерах... для восстановления доступа требуют отправить данные на адреса Decodehop@proton.me или hopdec@aidmail.cc. 

От отчаяния отправлял письма на эти адреса, но пришел ответ что не существуют данные почты... Есть ли возможность спасти данные и расшифровать все?

Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано

Прошу прощение, что не изучил тему. Вопрос срочный и все на нервах... Самое, что смешное, неделю назад сделали запрос коммерческого на закупку ПО Касперского....

FRST + Требования + файлы.zip

 

Кажется как нашел сам файл вируса. Пароль архива virus

Есть еще подозрительные файлы mimikatz_trunk, но архив весит 20мб +

hope last final.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно, что это Voidcrypt/Ouroboros.

добавьте еще эти файлы в архиве без пароля.

2024-09-07 22:13 - 2024-09-07 22:13 - 000002032 _____ C:\Windows\system32\HOP.KEY
2024-09-07 22:13 - 2024-09-07 22:13 - 000000398 _____ C:\ProgramData\pkey.txt
2024-09-07 22:13 - 2024-09-07 22:13 - 000000015 _____ C:\ProgramData\IDk.txt
 

Изменено пользователем safety
Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано

Прикрепляю

idk hop pkey.7z

 

Дело еще в том, что не удается связаться по указанным адресам почт, для покупки дешифратора.... 

safety

safety

Опубликовано
Опубликовано
3 часа назад, safety сказал:

Возможно, что это Voidcrypt/Ouroboros.

Судя по детектам на Virustotal.com - это действительно VoidCrypt/Ouroboros,

 

По маске зашифрованных файлов другие примеры шифрования:

IMG_0375.JPG.(MJ-KN4659801732)(aaleenthomas@gmail.com).GAYGUY

Release Notes.txt.[MJ-VJ0189672354](imsystemsavior@gmail.com).MrWhite

Снимок_02.PNG.(MJ-HJ7431869520)(filescoder@gmail.com).MRN

3 часа назад, Reinecke сказал:

Прикрепляю

HOP.KEY - скорее всего зашифрованный сессионный приватный ключ, который нужен для расшифровки ваших файлов. pkey.txt публичный ключ которым было выполнено шифрования. Приватной части данного ключа нет.

Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано

То есть решения данной проблемы нет... Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

7 минут назад, safety сказал:

Судя по детектам на Virustotal.com - это действительно VoidCrypt/Ouroboros,

 

По маске зашифрованных файлов другие примеры шифрования:

IMG_0375.JPG.(MJ-KN4659801732)(aaleenthomas@gmail.com).GAYGUY

Release Notes.txt.[MJ-VJ0189672354](imsystemsavior@gmail.com).MrWhite

Снимок_02.PNG.(MJ-HJ7431869520)(filescoder@gmail.com).MRN

HOP.KEY - скорее всего зашифрованный сессионный приватный ключ, который нужен для расшифровки ваших файлов. pkey.txt публичный ключ которым было выполнено шифрования. Приватной части данного ключа нет.

 

То есть решения данной проблемы нет... Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

safety

safety

Опубликовано
Опубликовано (изменено)
2 часа назад, Reinecke сказал:

Дело еще в том, что не удается связаться по указанным адресам почт, для покупки дешифратора...

Этот ключ отсылали согласно инструкции?

RSAKEY-SE-24r6t523 pr HOPKEY.KEY

Обращаю внимание, что по предыдущим вариантам *.MRN, *.MrWhite пострадавшие оплачивали ключ и дешифратор, но не могли ими воспользоваться для расшифровки.

3 минуты назад, Reinecke сказал:

Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

При наличие лицензии на продукт Касперского стоит это сделать. Чтобы получить официальный ответ от антивирусной лаборатории о возможности/или невозможности расшифровки по данному типу.

Изменено пользователем safety
Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано
3 минуты назад, safety сказал:

Этот ключ отсылали согласно инструкции?

RSAKEY-SE-24r6t523 pr HOPKEY.KEY

Обращаю внимание, что по предыдущим вариантам *.MRN, *.MrWhite пострадавшие оплачивали ключ и дешифратор, но не могли ими воспользоваться для расшифровки.

При наличие лицензии на продукт Касперского стоит это сделать. Чтобы получить официальный ответ о возможности/или невозможности расшифровки.

Да, отсылали этот ключ... При отправки с @mail.ru приходит ответ, что данная почта не существует. При отправки @gmail.com в ответ полная тишина. 

Лицензия есть, будем пробовать

safety

safety

Опубликовано
Опубликовано (изменено)
6 минут назад, Reinecke сказал:

Да, отсылали этот ключ... При отправки с @mail.ru приходит ответ, что данная почта не существует. При отправки @gmail.com в ответ полная тишина. 

Возможно, почту злоумышленников уже заблокировали, возможно с mail.ru не принимают почту, возможно gmail не пропускает архивные вложения определенного типа, или защищенные паролем.

 

Ouroboros давно не было, пожалуй в течение этого года. Возможно у них проблемы с некорректной работой дешифратора.

 

+ проверьте ЛС.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • belisov@gmail.com
      Новый вид шифровальщика Cortizol
      Автор belisov@gmail.com
      Доброго дня
       
      Новый вид шифровальщика cortizolid-XXXXXXXX[cortizol@atomicmail.io].Cortizol при заражении создает подобные файлы
      Заходит через RDP со слабыми праролями или через машины сотрудников с поднятыми RDP
      Заходит именно человек, запускает скрипт, копируется в папку музыка в моем случае 64.exe и прописывается в реестре
      в корнях дисков создает файл key.cortizol
      и инструкцию как оплатить
      хочет 2500$
       
      основные следы приложил в архиве, портит много чего в реестре и в файловой системе, браузеры не работают.
      если процесс с вирусом в памяти, то записывать тоже не все позволяет
       
      прошу помочь расшифровать, возможно много заражений, тк id имеет много разрядов
      пароль от архива cortizol
       
    • itexno
      зашифровано все
      Автор itexno
      Пароль на архив 654258 в архиве все файлы и ключи + логи
      Dectryption-guide.rar
      в папке 3  ключи и прочее
    • Volandrei
      Шифровальщик вирус
      Автор Volandrei
      Здравствуйте, вирус шифровальщик попал на сервер, заплатил выкуп, прислали не рабочий ключ и дешифратор. в архиве ключ который прислали, дешифратор, и зашифрованные файлы. Записку потерял, но ид и емаил такой же как в сообщении.   Прикладываю ссылку на обменник. Архив   . 
    • LostGod
      Шифровальщик youhau@onionmail.org *.youhau
      Автор LostGod
      Приветствую.
      Сегодня ночью отработал шифровальщик. Соответственно все базы шифрованы. 
      Будьте добры посмотрите и скажите есть надежда или нет. 
      Благодарю.
       
      youhau@onionmail.org.7z Addition.txt FRST.txt
    • merdOgli
      Шифровальщик
      Автор merdOgli
      Добрый день. у меня он же? 
       
      Dectryption-guide.txt
      Файлы выглядят как 
      GTDDOS209804.lic.[MJ-GC4976520831](Bleowalton@gmail.com).walton
      RSAKEY-MJ-PI4638251970.key  RSAKEY-MJ-PI4638251970.key - .txt
       
      + есть нетронутая VM с инсталлятором он не успел там запуститься. на ней нет антивируса. 
      Как действовать чтоб получить алгоритм шифрования? 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...