Перейти к содержанию

Шифровальщик .hop_dec Decodehop@proton.me

Reinecke
 Поделиться

Рекомендуемые сообщения

Reinecke

Reinecke

Опубликовано
Опубликовано

Добрый день!

 

Зашифровались все файлы на двух рабочих компьютерах... для восстановления доступа требуют отправить данные на адреса Decodehop@proton.me или hopdec@aidmail.cc. 

От отчаяния отправлял письма на эти адреса, но пришел ответ что не существуют данные почты... Есть ли возможность спасти данные и расшифровать все?

Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано

Прошу прощение, что не изучил тему. Вопрос срочный и все на нервах... Самое, что смешное, неделю назад сделали запрос коммерческого на закупку ПО Касперского....

FRST + Требования + файлы.zip

 

Кажется как нашел сам файл вируса. Пароль архива virus

Есть еще подозрительные файлы mimikatz_trunk, но архив весит 20мб +

hope last final.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно, что это Voidcrypt/Ouroboros.

добавьте еще эти файлы в архиве без пароля.

2024-09-07 22:13 - 2024-09-07 22:13 - 000002032 _____ C:\Windows\system32\HOP.KEY
2024-09-07 22:13 - 2024-09-07 22:13 - 000000398 _____ C:\ProgramData\pkey.txt
2024-09-07 22:13 - 2024-09-07 22:13 - 000000015 _____ C:\ProgramData\IDk.txt
 

Изменено пользователем safety
Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано

Прикрепляю

idk hop pkey.7z

 

Дело еще в том, что не удается связаться по указанным адресам почт, для покупки дешифратора.... 

safety

safety

Опубликовано
Опубликовано
3 часа назад, safety сказал:

Возможно, что это Voidcrypt/Ouroboros.

Судя по детектам на Virustotal.com - это действительно VoidCrypt/Ouroboros,

 

По маске зашифрованных файлов другие примеры шифрования:

IMG_0375.JPG.(MJ-KN4659801732)(aaleenthomas@gmail.com).GAYGUY

Release Notes.txt.[MJ-VJ0189672354](imsystemsavior@gmail.com).MrWhite

Снимок_02.PNG.(MJ-HJ7431869520)(filescoder@gmail.com).MRN

3 часа назад, Reinecke сказал:

Прикрепляю

HOP.KEY - скорее всего зашифрованный сессионный приватный ключ, который нужен для расшифровки ваших файлов. pkey.txt публичный ключ которым было выполнено шифрования. Приватной части данного ключа нет.

Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано

То есть решения данной проблемы нет... Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

7 минут назад, safety сказал:

Судя по детектам на Virustotal.com - это действительно VoidCrypt/Ouroboros,

 

По маске зашифрованных файлов другие примеры шифрования:

IMG_0375.JPG.(MJ-KN4659801732)(aaleenthomas@gmail.com).GAYGUY

Release Notes.txt.[MJ-VJ0189672354](imsystemsavior@gmail.com).MrWhite

Снимок_02.PNG.(MJ-HJ7431869520)(filescoder@gmail.com).MRN

HOP.KEY - скорее всего зашифрованный сессионный приватный ключ, который нужен для расшифровки ваших файлов. pkey.txt публичный ключ которым было выполнено шифрования. Приватной части данного ключа нет.

 

То есть решения данной проблемы нет... Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

safety

safety

Опубликовано
Опубликовано (изменено)
2 часа назад, Reinecke сказал:

Дело еще в том, что не удается связаться по указанным адресам почт, для покупки дешифратора...

Этот ключ отсылали согласно инструкции?

RSAKEY-SE-24r6t523 pr HOPKEY.KEY

Обращаю внимание, что по предыдущим вариантам *.MRN, *.MrWhite пострадавшие оплачивали ключ и дешифратор, но не могли ими воспользоваться для расшифровки.

3 минуты назад, Reinecke сказал:

Есть ли смысл писать в ТП Касперского с запросом расшифровки? Или все действия бессмыслены?

При наличие лицензии на продукт Касперского стоит это сделать. Чтобы получить официальный ответ от антивирусной лаборатории о возможности/или невозможности расшифровки по данному типу.

Изменено пользователем safety
Reinecke

Reinecke

Опубликовано
  • Автор
Опубликовано
3 минуты назад, safety сказал:

Этот ключ отсылали согласно инструкции?

RSAKEY-SE-24r6t523 pr HOPKEY.KEY

Обращаю внимание, что по предыдущим вариантам *.MRN, *.MrWhite пострадавшие оплачивали ключ и дешифратор, но не могли ими воспользоваться для расшифровки.

При наличие лицензии на продукт Касперского стоит это сделать. Чтобы получить официальный ответ о возможности/или невозможности расшифровки.

Да, отсылали этот ключ... При отправки с @mail.ru приходит ответ, что данная почта не существует. При отправки @gmail.com в ответ полная тишина. 

Лицензия есть, будем пробовать

safety

safety

Опубликовано
Опубликовано (изменено)
6 минут назад, Reinecke сказал:

Да, отсылали этот ключ... При отправки с @mail.ru приходит ответ, что данная почта не существует. При отправки @gmail.com в ответ полная тишина. 

Возможно, почту злоумышленников уже заблокировали, возможно с mail.ru не принимают почту, возможно gmail не пропускает архивные вложения определенного типа, или защищенные паролем.

 

Ouroboros давно не было, пожалуй в течение этого года. Возможно у них проблемы с некорректной работой дешифратора.

 

+ проверьте ЛС.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • denjz84
      Помощь с шифровальщиком ant_dec
      Автор denjz84
      Добрый день, ночью зашифровали файлы на рабочем компьютере со всеми базами и т.д. Прошу помощи с расшифровкой если возможно. Прилагаю образец зашифрованного файла и логи FRST.
      Файл.zip FRST.txt Addition.txt
    • qq999qq
      Зашифровано
      Автор qq999qq
      Добрый день, сегодня аналогичная ситуация. Я так понимаю расшифровать не возможно?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • RosArY
      Зашифровано ant-dec
      Автор RosArY
      Доброго времени. по открытому RDP словил трояна, теперь все пользовательские файлы зашифрованы. есть ли возможность расшифровки? есть еще и сам троян в виде ant gmail.exe и все сопутствующие ему файлы (размер архива 30Мб.)
       
      Спасибо!
      Dectryption-guide.txt KVRT.rar pkey_idk.rar Зашифрованные файлы.rar
    • Сергей Ладей
      Захожу на сервер, а там денег просит за расшифровку
      Автор Сергей Ладей
      Добрый день сегодня захожу на сервер а там денег просит за расшифровку помогите  с помощью утилиты создал 2 файла
      06.12.2019.rar
    • Batyr
      Шифровальщик [fixallfiles@tuta.io]ID=[ER5HPZOV3ND6BLC].odveta
      Автор Batyr
      Добрый день!
       
      Возникла проблема, залез на сервер шифровальщик и зашифровал большую часть файлов. По сети не распространился. В наименовании зашифрованного файла добавил к имени всех файлов следующие символы Email=[fixallfiles@tuta.io]ID=[ER5HPZOV3ND6BLC].odveta. Помогите расшифровать пожалуйста!
      CollectionLog-2019.10.11-14.42.zip
×
×
  • Создать...