Перейти к содержанию

шифровальщик *.ant_dec

initoff
 Поделиться

Рекомендуемые сообщения

initoff

initoff

Опубликовано
Опубликовано

Здравствуйте, были зашифрованы файлы на ПК и Серверах. в формате *.ant_dec

Прикладываю логи Farbar и пару файлов + требования. 

подскажите, если ли шанс расшифровать?

спасибо

Dectryption-guide.zip FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логу к этому устройству

Запущено с помощью *** (Администратор) на LC-021-WS (ASUS System Product Name) (08-01-2026 15:08:14)

файл шифровальщика еще в ОЗУ.

Если систему еще не перегрузили, пробуйте сделать дамп памяти.

1.. Делаем полный физический дамп памяти, например с помощью Elcomsoft Forensic Disk Decryptor

Для сохранения дампа можно использовать, например, c:\windows\temp

После сохранения дампа процесс () [Файл не подписан] C:\Users\kdi\Music\ant dec\ant dec\ant gmail.exe лучше закрыть.

2. загружаем дамп (в архиве, без пароля) на общедоступный облачный диск, готовим ссылку на данный архив. Ссылку добавить здесь, в ЛС.

+

пришлите в архиве без пароля эт файлы:

2026-01-08 08:03 - 2026-01-08 08:03 - 000002032 _____ C:\WINDOWS\system32\HOP.KEY
2026-01-08 06:29 - 2026-01-08 06:29 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 06:29 - 2026-01-08 06:29 - 000000015 _____ C:\ProgramData\IDk.txt

Изменено пользователем safety
initoff

initoff

Опубликовано
  • Автор
Опубликовано (изменено)

при попытке сохранения дампа, комп перезагрузился. после перезагрузки ant gmail в запущенных нет. смысла снимать дамп памяти после перезагрузки нет? 

 

доп: после перезагрузки запустил снятие дампа заново. он так же перезагрузился. 

hop.zip

Изменено пользователем initoff
safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

при попытке сохранения дампа, комп перезагрузился. после перезагрузки ant gmail в запущенных нет. смысла снимать дамп памяти после перезагрузки нет? 

да, теперь уже дамп бесполезен.

 

Эту папку заархивируйте с паролем virus, добавьте в ваше сообщение.

C:\Users\kdi\Music\ant dec

Изменено пользователем safety
initoff

initoff

Опубликовано
  • Автор
Опубликовано (изменено)

файл загружен, ссылка удалена

не влез в 5 мб

 

Изменено пользователем safety
файл загружен, ссылка удалена.
safety

safety

Опубликовано
Опубликовано

На других зашифрованных устройствах такая же картина?

initoff

initoff

Опубликовано
  • Автор
Опубликовано

выглядит так же. ant dec. 
может я не совсем понимаю вопрос?

safety

safety

Опубликовано
Опубликовано (изменено)

Сделайте логи FRST на другом устройстве, так чтобы не было перезагрузки системы.

Если там есть в памяти этот процесс ant gmail.exe, закройте его через диспетчер процессов,

 

Цитата

доп: после перезагрузки запустил снятие дампа заново. он так же перезагрузился. 

Может места было недостаточно на системном диске?

 

 

Изменено пользователем safety
initoff

initoff

Опубликовано
  • Автор
Опубликовано

места на системном диске было достаточно. 

с другими устройствами, пока проблемно подключиться(точнее проблемы с обменом файлами). они все не в физ доступе. 

как что-то получится. выложу.

спасибо большое за помощь.

safety

safety

Опубликовано
Опубликовано

Судя по первому логу этот файл ant gmail.exe не в автозапуске, запускают возможно вручную с рабочего стола.

С этим типом пока много вопросов из того что связано с расшифровкой файлов.

safety

safety

Опубликовано
Опубликовано (изменено)
8 часов назад, initoff сказал:

вот с другого пк без перезагрузки

FRST.txt 52.15 kB · 0 загрузок Addition.txt 34.85 kB · 0 загрузок

Эти файлы важны для получения ключа, точнее HOP.KEY, pkey.txt важен для контроля приватного ключа.

2026-01-08 06:46 - 2026-01-08 06:46 - 000002032 _____ C:\Windows\system32\HOP.KEY
2026-01-08 06:46 - 2026-01-08 06:46 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 06:46 - 2026-01-08 06:46 - 000000015 _____ C:\ProgramData\IDk.txt

 

и по каждому ПК свой приватный ключ

+

для доп. анализа проверьте ЛС

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
4 часа назад, initoff сказал:

еще с одного компа 
дамп памяти до перезагрузки с закрытым ant gmail.

2026-01-08 08:14 - 2026-01-08 08:14 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 08:14 - 2026-01-08 08:14 - 000000015 _____ C:\ProgramData\IDk.txt

2026-01-08 08:15 - 2026-01-08 08:15 - 000002032 _____ C:\Windows\system32\HOP.KEY

 

initoff

initoff

Опубликовано
  • Автор
Опубликовано
6 часов назад, safety сказал:

2026-01-08 08:14 - 2026-01-08 08:14 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 08:14 - 2026-01-08 08:14 - 000000015 _____ C:\ProgramData\IDk.txt

2026-01-08 08:15 - 2026-01-08 08:15 - 000002032 _____ C:\Windows\system32\HOP.KEY

там где ссылка на дамп на яндекс диск, эти файлы в архиве по ссылке, вместе с дампом

15 часов назад, initoff сказал:

вот с другого пк без перезагрузки

FRST.txt 52.15 kB · 1 загрузка Addition.txt 34.85 kB · 1 загрузка

 

hop+pkey+idk.zip

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • itexno
      зашифровано все
      Автор itexno
      Пароль на архив 654258 в архиве все файлы и ключи + логи
      Dectryption-guide.rar
      в папке 3  ключи и прочее
    • merdOgli
      Шифровальщик
      Автор merdOgli
      Добрый день. у меня он же? 
       
      Dectryption-guide.txt
      Файлы выглядят как 
      GTDDOS209804.lic.[MJ-GC4976520831](Bleowalton@gmail.com).walton
      RSAKEY-MJ-PI4638251970.key  RSAKEY-MJ-PI4638251970.key - .txt
       
      + есть нетронутая VM с инсталлятором он не успел там запуститься. на ней нет антивируса. 
      Как действовать чтоб получить алгоритм шифрования? 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • MikeOne
      Снова .ant_dec шифровальщик
      Автор MikeOne
      Собственно прочитав множество тем за последнюю неделю данная беда и меня настигла. Зашифровано ant_dec файлами, скорее всего через RDP
      FRST.zip включает в себя: FRST.txt, Shortcut.txt, Addition.txt
      CryptedFiles + Ransomware.zip включает в себя: Dectryption-guide.txt и пару зашифрованных файлов

      ссылка удалена - Пароль: virus 
      Virus_2.zip включает в себя Virus.zip
      Внутри: HOP.KEY, ant gmail.exe, mimikatz.exe и все сопутствующие файлы которые были найдены рядом с вирусом
      ПК до сих пор запущен (Не перезагружался) (Отключен от сети)
      Анализ DrWeb.Cureit скидываю

      FRST.zip CryptedFiles + Ransomware.zip
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на форуме.
    • ИльяSL
      шифрование Trojan.Encoder.29750
      Автор ИльяSL
      Здравствуйте, файлы компьютера были зашифрованы Trojan.Encoder.29750 через подключение rdp
      Есть ли возможность создать скрипт или иное решение для их дешифровки? 
      Keys.7z
    • Vlads
      Атака шифровальщиком организации
      Автор Vlads
      Сегодня утром подверглись атаке шифровальщика. Вирус распространился по всей системе и зашифровал все бэкапы и базы данных. Все файлы имеют расширение "ant_dec" и в каждой из папок находится txt файл с запиской о выкупе. Прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool и два зашифрованных документа согласно инструкции, а также файл с требованиями злоумышленников. Файл шифровальщика не удалось отыскать. Так же положил в архив файл HOP.KEY - ключ который требует злоумышленник для расшифровки данных находящийся из C:\Windows\System32.
      Для дешифровки.zip
×
×
  • Создать...