ouroboros Зашифровано ant-dec

[RosArY]

Доброго времени. по открытому RDP словил трояна, теперь все пользовательские файлы зашифрованы. есть ли возможность расшифровки? есть еще и сам троян в виде ant gmail.exe и все сопутствующие ему файлы (размер архива 30Мб.)

 

Спасибо!

Dectryption-guide.txt KVRT.rar pkey_idk.rar Зашифрованные файлы.rar

[safety]

Этот файл "ant gmail.exe" загрузите на Virustotal.com, и дайте ссылку на результат проверки.

[RosArY]

https://www.virustotal.com/gui/file/8227fb14f49b9de423558f8b7ad0f0e43efd6d81c6cdbd2881aaee0ad2f61d98/detection

report_2025.11.07_19.47.22.klr.rar

[safety]

Да, ant_dec именно этим сэмплом шифрует файлы:

SHA-1:  e00b5d8b411aaab41449ff9ad66a5228096fa4cc

Compilation Timestamp
2023-02-27 20:21:46 UTC

 

HOP.KEY у вас есть в незашифрованном виде?

т.е. не в таком виде:

HOP.KEY.[MJ-****](lock01ant@gmail.com ).ant_dec

+

Добавьте логи FRST для визуальной картины стихийного бедствия с шифрованием.

Изменено 8 ноября пользователем safety

[RosArY]

FRST.rar HOP.rar

[safety]

HOP.KEY - это важный файл, он содержит сессионный приватный ключ, который необходим для расшифровки файлов, но в HOP.KEY ключ содержится в зашифрованном публичным мастером RSA key виде. Т.е. извлечь prvkey.txt  из HOP. KEY можно только при наличие приватного маcтера RSA key. Который есть (или должен быть) только у злоумышленников.

 

сессионный prvkey.txt создается так же в этой папке.

2025-11-05 02:08 - 2025-11-05 02:08 - 000000398 _____ C:\ProgramData\pkey.txt
2025-11-05 02:08 - 2025-11-05 02:08 - 000000015 _____ C:\ProgramData\IDk.txt

 

но затем он шифруется и в зашифрованном виде сохраняется в HOP.KEY, оригинал файла, скорее всего затирается мусором, или обнуляется до практически нулевого содержания. (видел prvkey.txt содержащим "1"), после этого еще и удаляется.

 

Как вариант, поискать его среди удаленных файлов или прямо по диску:

в незашифрованном виде к ключу добавляется строка с ID и Mail

Примерно такое:

ID=MJ-ваш ID  Disksize=** Mail=lock01ant@gmail.com  Ip=** Date:*** ***

Изменено 10 ноября пользователем safety

[RosArY]

просканировал диск на удаленные файлы R.Saver и Puran File Recovery. в результатах сканирования нет ничего похожего на prvkey

[safety]

Значит нет. Приватные ключи которые предоставляют по контакту из записки о выкупе,  с большой вероятностью не соответствуют настоящему сессионному ключу. Вполне возможно, что у них нет приватного мастер RSA key.

Изменено 8 ноября пользователем safety

[RosArY]

а что если попробовать повторно заразить эту же машину, или другую тестовую?

[safety]

При каждом запуске шифровальщика сессионная пара: pkey - prvkey будут новой, повторить пару вы не сможете, хоть тыс. раз перезапускайте шифровальщик.

Изменено 8 ноября пользователем safety

[safety]

Для доп. анализа проверьте ЛС.

=========

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 10 ноября пользователем safety