ouroboros Ant_dec шифровальщик

[E_ant]

Здравствуйте. файлы на сервере были защифрованы в формате ant_dec, прикладываю логи утилиты и пару примеров файлов, а также послание от злоумышленников

2025-10-27.zip

[safety]

Эти файлы так же добавьте, можно в архиве без пароля.

2025-10-24 03:28 - 2025-10-24 03:28 - 000000398 _____ C:\ProgramData\pkey.txt
2025-10-24 03:28 - 2025-10-24 03:28 - 000000015 _____ C:\ProgramData\IDk.txt

+

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте логи сканирования в архиве, без пароля.

 

Изменено 28 октября, 2025 пользователем safety

[E_ant]

Данные файлы в архиве без пароля, систему утилитами не прогоняли во избежание повреждения файлов

kas2025-10-27.zip

[safety]

Если бы у вас еще сохранился prvkey.txt, можно было бы проверить расшифровку файлов. :).

Если запускали утилиты восстановления удаленных файлов, проверьте среди удаленных этот файл.

prvkey.txt, prvkey1.txt, prvkey3.txt

Но он может быть перезаписан мусором перед удалением.

А так, до удаления, он обычно шифруется, и пересохраняется в зашифрованном виде в RSAkey.key, или в HOP.key. Расшифровать этот файл можно только при наличие приватного ключа.

 

+

проверьте, возможно такой файл остался в системе:

"ant gmail.exe"

Изменено 28 октября, 2025 пользователем safety

[E_ant]

Где эти файлы обычно лежат? На C:\ следов таких файлов не нашёл

[safety]

там же где и эти файлы:

2025-10-24 03:28 - 2025-10-24 03:28 - 000000398 _____ C:\ProgramData\pkey.txt
2025-10-24 03:28 - 2025-10-24 03:28 - 000000015 _____ C:\ProgramData\IDk.txt

в C:\ProgramData\

они могут быть затерты и удалены.

"ant gmail.exe"  - это файл шифровальщика, может быть запущен с диска C вручную. (мог быть и удален после завершения шифрования.)

[RosArY]

Доброго времени! Есть полный комплект трояна с зараженной машины. Это как-то может помочь в расшифровке пользовательских файлов?

[safety]

В 06.11.2025 в 02:07, RosArY сказал:

Это как-то может помочь в расшифровке пользовательских файлов?

Создайте отдельную  тему в данном разделе, не пишите в чужой теме.

Update:

И без уточнения понятно о чем речь. Не стоит нарушать правила форума.

 

Если вы посмотрите темы в данном разделе, то вы увидите, что здесь много есть однотипных тем.

Каждое  обращение - отдельная тема.

Так удобнее вести диалог консультантам. И думаю, что пострадавшим пользователям.

Чтобы не путать ответы и логи.

Если вас не устраивает подобный формат, можно пойти на другой форум, где все делается наоборот.

 

Все сообщения по шифровальщикам сводятся модератором в одну тему, по формату один тип - одна тема.

например:

Цитата

 

Другие жертвы, включая IT-консультантов и представителей компаний, также могут делиться информацией, опытом и предложениями.

Тема поддержки MedusaLocker3/Far Attack Ransomware (.farattack, .itlock*, .busavelock*)
Вместо того, чтобы создавать отдельные темы для каждого, нашим экспертам и сотрудникам будет удобнее размещать любые вопросы, комментарии или запросы о помощи в обсуждении, указанном выше. Как только решение для дешифрования будет доступно, оно будет предоставлено там. Во избежание ненужной путаницы эта тема закрыта.

 

 

Изменено 7 ноября, 2025 пользователем safety