Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Столкнулись с шифровальщиком .hop_dec (decodehop@gmail.com)

Hikasi21
 Поделиться

Рекомендуемые сообщения

Hikasi21

Hikasi21

Опубликовано
Опубликовано

Здравствуйте. 
Зашифровались все файлы в домене, вирус запускался от имени администратора домена, для восстановления доступа злоумышленники требуют отправить данные на адреса decodehop@gmail.com или hopdec@aidmail.cc

Лог FRST, пример зашифрованных файлов и архив с вирусом в приложении

 FRST_log.zip  

encrypted_files.zip virus(password_123).zip

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте так же эти файлы:

2025-03-15 01:36 - 2025-03-15 01:36 - 000002032 _____ C:\ProgramData\HOP.KEY

из этой папки

2025-03-15 08:28 - 2025-03-15 08:33 - 000000000 ____D C:\KVRT2020_Data

добавьте подкаталог Reports в архиве без пароля

Цитата

злоумышленники требуют отправить данные на адреса decodehop@gmail.com или hopdec@aidmail.cc

Отправьте из пару зашифрованных файлов для проверки: могут они бесплатно расшифровать их или нет.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
Task: {47536D45-EEEC-4BDC-8183-A4DC1F8DA9E4} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip -> Нет файла <==== ВНИМАНИЕ
Task: {81540B9F-B5BF-47EB-9C95-BE195BF2C664} - \Microsoft\Windows\NetTrace\GatherNetworkInfo -> Нет файла <==== ВНИМАНИЕ
Task: {D0250F3F-6480-484F-B719-42F659AC64D5} - \Microsoft\Windows\Windows Error Reporting\QueueReporting -> Нет файла <==== ВНИМАНИЕ
Task: {DA41DE71-8431-42FB-9DB0-EB64A961DEAD} - \Microsoft\Windows\Maintenance\WinSAT -> Нет файла <==== ВНИМАНИЕ
Task: {FB3C354D-297A-4EB2-9B58-090F6361906B} - \Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem -> Нет файла <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [cdjkkeofanojcdolaakkckkmfcjejlij]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
U3 avgbdisk; отсутствует ImagePath
S3 btwaudio; system32\drivers\btwaudio.sys [X]
S3 btwavdt; system32\DRIVERS\btwavdt.sys [X]
S3 btwl2cap; system32\DRIVERS\btwl2cap.sys [X]
S3 btwrchid; system32\DRIVERS\btwrchid.sys [X]
U4 dcpsvc; отсутствует ImagePath
R4 eamonm; system32\DRIVERS\eamonm.sys [X]
R4 ehdrv; system32\DRIVERS\ehdrv.sys [X]
U4 npcap_wifi; отсутствует ImagePath
HKLM-x32\...\Run: [] => [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по отчету KVRT сэмпл шифровальщика не обнаружен.

Может быть с таким именем. "hope last final.exe", или "decodehop@proton.me.exe"

В отчеты FRST тоже не попал.

С расшифровкой по данному типу шифровальщика все сложно. Все последние версии, который были в ходу шифровали, но злоумышленники присылали или неработающий дешифратор, или не рабочие ключи.

Стоит проверить, могут ли эти расшифровать тестовые файлы бесплатно или нет.

Отправьте из пару зашифрованных файлов для проверки: могут они бесплатно расшифровать их или нет.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Hikasi21

Hikasi21

Опубликовано
  • Автор
Опубликовано

Отправил на почту decodehop@gmail.com два файла в форматах .doc и .pdf, прислали два расшифрованных файла, но в формате .jpg

Вернее два скриншота расшифрованных файлов с телефона

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Здесь схема может быть мутной, владельцы этой почты, которые распространяют шифровальщик, являются промежуточным звеном. После получения от вас двух тестовых файлов, они связываются с RAAS -разработчиками шифровальщика, у которых есть ключ. разработчики не предоставляют им сразу дешифратор, просто расшифровывают полученные от них ваши тестовые файлы, и показывают им скриншоты расшифровки. Дешифратор и ключ они получат только в том случае, если посредники переведут им оплату. Но после получения оплаты от вас, посредники не выкупают дешифратор и ключ у разработчиков, а присылают вам неработающий дешифровщик для старых версий, и не работающий ключ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
    • aleksey76
      Поймал шифровальщик с отсылкой на этот адрес Rdpdik6@gmail.com. Прошу помощи в расшифровке.
      Автор aleksey76
      архив.7z
    • Artyom1990
      Подкинули шифровальщик, ни один антивирус его не находит. .[Rdpdik6@gmail.com].lockedfile
      Автор Artyom1990
      Здравствуйте, прошу помочь, подхватили шифровальщик, не могу ни удалить ни расшифровать файлы.
      .[Rdpdik6@gmail.com].lockedfile
      анкета сокращенная.pdf.[Rdpdik6@gmail.com]
      SearchReg.txt Addition.txt FRST.txt
      Это то что отправил вымогатель.
      #Read-for-recovery.txt
      Это то что отправил вымогатель.
    • bakankovaelena
      Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
×
×
  • Создать...