Файлы зашифрованы с расширением .Lazarus; Lazarus+; .Angus; .Skynet; .Kronos; .Void; .mifr; .onion; Spade; crypter; .RTX; .ADA; .gts; .help; .Iwan; .killer; .lama; .professor; .zxc , VoidCrypt/Filecoder.Ouroboros

RSS
Добрый день. подскажите сталкивался кто то с шифровальщиком VOID.Файлы зашифрованы по типу 1.cer.[[email protected]][ID-CJ32FSXI7OR4QA8].Void

Ответы

Подскажите если ли на сегодняшний день дешифраторы которые смогут помочь расшифровать мои файлы
(Файлы зашифрованы с расширением *.RTX , win32/filecoder.ouroboros, зашифрованы под расширением [[email protected]][MJ-OI9120847653].RTX)
добавьте несколько зашифрованных файлов и записку о выкупе  в архив и приложите архив в вашем сообщение
+
добавьте образ автозапуска
+
логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
Привет!
Помочь расшифровать файлы .ADA
Загрузил записку и зашифрованный файл в службу ID Ransomware (IDR)получил ответ:

Невозможно определить ransomware.

Пожалуйста, убедитесь, что вы загружаете выпускную записку и зашифрованный файл образца из одной и той же инфекции.
Это может произойти, если это новое вымогательство или тот, который не может быть идентифицирован автоматически.
Вы можете опубликовать новую тему в технической поддержке Ransomware и помощи на форумах о BleepingComputer для дальнейшей помощи и анализа.
Пожалуйста, ссылайтесь на этот случай SHA1: F7B43B5A66AED5E18ECA640DC18779730AFAF693

Воспользовался сервисом nomoreransom так же ничего найти не удалось.

Формат зашифрованного файла .ADA Адрес вымогателей [email protected] [email protected]
Зашифрованный файл, ключ, примечание и расшифрованный файл, загружены на файл обменник: sendspace
Изменено: Иван Иванов - 10.11.2021 16:18:19
судя по записке о выкупе и ключе, похоже на шифрование вариантом Void Ransomware
вот пример записки о выкупе для Void.onion

#Decrypt-me.txt
Цитата
All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\  folder  and send us prvkey*.txt.key  file ,  *  might be a number (like this : prvkey3.txt.key)

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin


Our Email:[email protected]

in Case of no Answer:[email protected]

для сравнения с вашим вариантом .ADA
#read-me.txt
Цитата
All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\ or in Your other Drives   and send us prvkey.txt.key  file  

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin


4-Changing Windows without saving prvkey.txt.key file will cause permanete Data loss


Our Email:  [email protected]

in Case of no Answer:  [email protected]


Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
+
совпадают имена ключей:
prvkey.txt.key
и маски имен зашифрованных файлов
filename.ext.[[email protected]][MJ-JC5304928617](1).ADA
и
fileName.ext.[[email protected]][MJ-VB3406819725].onion

больше информации о VOIDCRYPT здесь
https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

ESET реагирует записку о выкупе как G:\DATA\shifr\encode_files\Void\ADA\read-me.txt;Win32/Filecoder.Ouroboros троянская программа


если есть такая возможность, сделайте образ автозапуска из зашифрованной системы+ можно добавить лог ESETlogCollector для получения большей информации о зашифрованной системе.
Читают тему (гостей: 2)