Перейти к содержанию

шифровальщик *.ant_dec

initoff
 Поделиться

Рекомендуемые сообщения

initoff

initoff

Опубликовано
Опубликовано

Здравствуйте, были зашифрованы файлы на ПК и Серверах. в формате *.ant_dec

Прикладываю логи Farbar и пару файлов + требования. 

подскажите, если ли шанс расшифровать?

спасибо

Dectryption-guide.zip FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логу к этому устройству

Запущено с помощью *** (Администратор) на LC-021-WS (ASUS System Product Name) (08-01-2026 15:08:14)

файл шифровальщика еще в ОЗУ.

Если систему еще не перегрузили, пробуйте сделать дамп памяти.

1.. Делаем полный физический дамп памяти, например с помощью Elcomsoft Forensic Disk Decryptor

Для сохранения дампа можно использовать, например, c:\windows\temp

После сохранения дампа процесс () [Файл не подписан] C:\Users\kdi\Music\ant dec\ant dec\ant gmail.exe лучше закрыть.

2. загружаем дамп (в архиве, без пароля) на общедоступный облачный диск, готовим ссылку на данный архив. Ссылку добавить здесь, в ЛС.

+

пришлите в архиве без пароля эт файлы:

2026-01-08 08:03 - 2026-01-08 08:03 - 000002032 _____ C:\WINDOWS\system32\HOP.KEY
2026-01-08 06:29 - 2026-01-08 06:29 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 06:29 - 2026-01-08 06:29 - 000000015 _____ C:\ProgramData\IDk.txt

Изменено пользователем safety
initoff

initoff

Опубликовано
  • Автор
Опубликовано (изменено)

при попытке сохранения дампа, комп перезагрузился. после перезагрузки ant gmail в запущенных нет. смысла снимать дамп памяти после перезагрузки нет? 

 

доп: после перезагрузки запустил снятие дампа заново. он так же перезагрузился. 

hop.zip

Изменено пользователем initoff
safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

при попытке сохранения дампа, комп перезагрузился. после перезагрузки ant gmail в запущенных нет. смысла снимать дамп памяти после перезагрузки нет? 

да, теперь уже дамп бесполезен.

 

Эту папку заархивируйте с паролем virus, добавьте в ваше сообщение.

C:\Users\kdi\Music\ant dec

Изменено пользователем safety
initoff

initoff

Опубликовано
  • Автор
Опубликовано (изменено)

файл загружен, ссылка удалена

не влез в 5 мб

 

Изменено пользователем safety
файл загружен, ссылка удалена.
safety

safety

Опубликовано
Опубликовано

На других зашифрованных устройствах такая же картина?

initoff

initoff

Опубликовано
  • Автор
Опубликовано

выглядит так же. ant dec. 
может я не совсем понимаю вопрос?

safety

safety

Опубликовано
Опубликовано (изменено)

Сделайте логи FRST на другом устройстве, так чтобы не было перезагрузки системы.

Если там есть в памяти этот процесс ant gmail.exe, закройте его через диспетчер процессов,

 

Цитата

доп: после перезагрузки запустил снятие дампа заново. он так же перезагрузился. 

Может места было недостаточно на системном диске?

 

 

Изменено пользователем safety
initoff

initoff

Опубликовано
  • Автор
Опубликовано

места на системном диске было достаточно. 

с другими устройствами, пока проблемно подключиться(точнее проблемы с обменом файлами). они все не в физ доступе. 

как что-то получится. выложу.

спасибо большое за помощь.

safety

safety

Опубликовано
Опубликовано

Судя по первому логу этот файл ant gmail.exe не в автозапуске, запускают возможно вручную с рабочего стола.

С этим типом пока много вопросов из того что связано с расшифровкой файлов.

safety

safety

Опубликовано
Опубликовано (изменено)
8 часов назад, initoff сказал:

вот с другого пк без перезагрузки

FRST.txt 52.15 kB · 0 загрузок Addition.txt 34.85 kB · 0 загрузок

Эти файлы важны для получения ключа, точнее HOP.KEY, pkey.txt важен для контроля приватного ключа.

2026-01-08 06:46 - 2026-01-08 06:46 - 000002032 _____ C:\Windows\system32\HOP.KEY
2026-01-08 06:46 - 2026-01-08 06:46 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 06:46 - 2026-01-08 06:46 - 000000015 _____ C:\ProgramData\IDk.txt

 

и по каждому ПК свой приватный ключ

+

для доп. анализа проверьте ЛС

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
4 часа назад, initoff сказал:

еще с одного компа 
дамп памяти до перезагрузки с закрытым ant gmail.

2026-01-08 08:14 - 2026-01-08 08:14 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 08:14 - 2026-01-08 08:14 - 000000015 _____ C:\ProgramData\IDk.txt

2026-01-08 08:15 - 2026-01-08 08:15 - 000002032 _____ C:\Windows\system32\HOP.KEY

 

initoff

initoff

Опубликовано
  • Автор
Опубликовано
6 часов назад, safety сказал:

2026-01-08 08:14 - 2026-01-08 08:14 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 08:14 - 2026-01-08 08:14 - 000000015 _____ C:\ProgramData\IDk.txt

2026-01-08 08:15 - 2026-01-08 08:15 - 000002032 _____ C:\Windows\system32\HOP.KEY

там где ссылка на дамп на яндекс диск, эти файлы в архиве по ссылке, вместе с дампом

15 часов назад, initoff сказал:

вот с другого пк без перезагрузки

FRST.txt 52.15 kB · 1 загрузка Addition.txt 34.85 kB · 1 загрузка

 

hop+pkey+idk.zip

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • flagmon
      шифровальщик MRWHITE
      Автор flagmon
      Вчера вечером произошел взлом сервера, вероятней всего через rdp
       
      Addition.rar ЗаказДоговор2025табличныйДокумент_.epf.[MJ-AN9520834167](imsystemsavior@gmail.com).rar RSAKEY-MJ-AN9520834167.rar
    • sansaR
      шифровальщик .ant_dec
      Автор sansaR
      Шифровальщик погрыз win пользователей. 
      добавленное расширение  *.ant_dec. 

      Все системы снесены,  логи и отчеты снимать не с чего.

      Небольшие файлы зашифрованы полностью, большие только первые 400000 байт + добавлен хвост начинающийся с 'tim' и еще 256 байт.
      в архиве  записка, pkey(публичный), HOP(судя по дизасму - зашифрованный приватный privkey) и примеры шифрованных doc, jpg. 

      есть пара орига/шифр  файла прошивки (проприеарный формат, размер 7Мб )  
      Так же есть архив с тушкой вируса со всеми либами (пакет распространения который не успели снести и зашифровать  27Мб)
      tsygankov.zip
    • denjz84
      Помощь с шифровальщиком ant_dec
      Автор denjz84
      Добрый день, ночью зашифровали файлы на рабочем компьютере со всеми базами и т.д. Прошу помощи с расшифровкой если возможно. Прилагаю образец зашифрованного файла и логи FRST.
      Файл.zip FRST.txt Addition.txt
    • qq999qq
      Зашифровано
      Автор qq999qq
      Добрый день, сегодня аналогичная ситуация. Я так понимаю расшифровать не возможно?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • RosArY
      Зашифровано ant-dec
      Автор RosArY
      Доброго времени. по открытому RDP словил трояна, теперь все пользовательские файлы зашифрованы. есть ли возможность расшифровки? есть еще и сам троян в виде ant gmail.exe и все сопутствующие ему файлы (размер архива 30Мб.)
       
      Спасибо!
      Dectryption-guide.txt KVRT.rar pkey_idk.rar Зашифрованные файлы.rar
×
×
  • Создать...