Файлы зашифрованы с расширением .Lazarus; Lazarus+; .Angus; .Skynet; .Kronos; .Void; .mifr; .onion; Spade; crypter; .RTX; .ADA; .gts; .help; .Iwan; .killer; .lama; .professor; .zxc; solo; .PAY; MrWhite; .rar; RYKCRYPT; .MRN , VoidCrypt/Filecoder.Ouroboros

RSS

Сообщений: 2

Баллов: 1

Регистрация: 04.06.2020

Размещено 04.06.2020 08:36:29

Добрый день. подскажите сталкивался кто то с шифровальщиком VOID.Файлы зашифрованы по типу 1.cer.[[email protected]][ID-CJ32FSXI7OR4QA8].Void

Ответы

Пред. 1 2 3

Сообщений: 1

Регистрация: 08.10.2021

Размещено 08.10.2021 14:37:57

Подскажите если ли на сегодняшний день дешифраторы которые смогут помочь расшифровать мои файлы
(Файлы зашифрованы с расширением *.RTX , win32/filecoder.ouroboros, зашифрованы под расширением [[email protected]][MJ-OI9120847653].RTX)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.10.2021 16:03:10

добавьте несколько зашифрованных файлов и записку о выкупе в архив и приложите архив в вашем сообщение
+
добавьте образ автозапуска
+
логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 07.11.2021

Размещено 07.11.2021 22:51:46

Привет!
Помочь расшифровать файлы .ADA
Загрузил записку и зашифрованный файл в службу ID Ransomware (IDR)получил ответ:

Невозможно определить ransomware.

Пожалуйста, убедитесь, что вы загружаете выпускную записку и зашифрованный файл образца из одной и той же инфекции.
Это может произойти, если это новое вымогательство или тот, который не может быть идентифицирован автоматически.
Вы можете опубликовать новую тему в технической поддержке Ransomware и помощи на форумах о BleepingComputer для дальнейшей помощи и анализа.
Пожалуйста, ссылайтесь на этот случай SHA1: F7B43B5A66AED5E18ECA640DC18779730AFAF693

Воспользовался сервисом nomoreransom так же ничего найти не удалось.

Формат зашифрованного файла .ADA Адрес вымогателей [email protected] [email protected]
Зашифрованный файл, ключ, примечание и расшифрованный файл, загружены на файл обменник: sendspace

Изменено: Иван Иванов - 10.11.2021 16:18:19

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.11.2021 06:58:39

судя по записке о выкупе и ключе, похоже на шифрование вариантом Void Ransomware
вот пример записки о выкупе для Void.onion

#Decrypt-me.txt

Цитата
All Your Files Has Been Encrypted You Have to Pay to Get Your Files Back 1-Go to C:\ProgramData\ folder and send us prvkey.txt.key file , might be a number (like this : prvkey3.txt.key) 2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data 3-Payment should be with Bitcoin Our Email:[email protected] in Case of no Answer:[email protected]

Цитата

All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\ folder and send us prvkey*.txt.key file , * might be a number (like this : prvkey3.txt.key)

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin

Our Email:[email protected]

in Case of no Answer:[email protected]

для сравнения с вашим вариантом .ADA
#read-me.txt

Цитата
All Your Files Has Been Encrypted You Have to Pay to Get Your Files Back 1-Go to C:\ProgramData\ or in Your other Drives and send us prvkey.txt.key file 2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data 3-Payment should be with Bitcoin 4-Changing Windows without saving prvkey.txt.key file will cause permanete Data loss Our Email: [email protected] in Case of no Answer: [email protected] Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Цитата

All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\ or in Your other Drives and send us prvkey.txt.key file

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin

4-Changing Windows without saving prvkey.txt.key file will cause permanete Data loss

Our Email: [email protected]

in Case of no Answer: [email protected]

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

+
совпадают имена ключей:
prvkey.txt.key
и маски имен зашифрованных файлов
filename.ext.[[email protected]][MJ-JC5304928617](1).ADA
и
fileName.ext.[[email protected]][MJ-VB3406819725].onion

больше информации о VOIDCRYPT здесь
https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

ESET реагирует записку о выкупе как G:\DATA\shifr\encode_files\Void\ADA\read-me.txt;Win32/Filecoder.Ouroboros троянская программа

если есть такая возможность, сделайте образ автозапуска из зашифрованной системы+ можно добавить лог ESETlogCollector для получения большей информации о зашифрованной системе.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 28.02.2023

Размещено 01.03.2023 07:00:52

Здравствуйте, помогите, взломали и зашифровали файлы, заплатил выкуп прислали дешифратор и ключ, но он не работает

Сообщений: 2

Баллов: 1

Регистрация: 28.02.2023

Размещено 01.03.2023 07:12:10

Файлы ключ который прислали во вложении, единственное записку куда-то дел, но Камил и ключ тот же что и в имени файла

Прикрепленные файлы

3123123.7z (12.61 МБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2023 12:00:08

Цитата
Андрей Волынский написал: Файлы ключ который прислали во вложении, единственное записку куда-то дел, но Камил и ключ тот же что и в имени файла

Записку конечно, желательно проверить: соответствует в ней ID тому, что есть на зашифрованных файлах или нет.
Release Notes.txt.[MJ-VJ0189672354]([email protected]).MrWhite
Так же ID можно проверить в этом файле: IDk.txt
Если исходить, что соответствует - дешифровка файлов не выполняется при вводе ключа и других параметров.
Прежний кейс по шифрованию mifr расшифровывается, так что вам надо проверить ключ, достоверный или нет.

[ Как создать образ автозапуска? ]

Пред. 1 2 3