ouroboros шифровальщик *.ant_dec

вчера в 12:25

Здравствуйте, были зашифрованы файлы на ПК и Серверах. в формате *.ant_dec

Прикладываю логи Farbar и пару файлов + требования.

подскажите, если ли шанс расшифровать?

спасибо

Dectryption-guide.zip FRST.txt Addition.txt

вчера в 13:30

Судя по логу к этому устройству

Запущено с помощью *** (Администратор) на LC-021-WS (ASUS System Product Name) (08-01-2026 15:08:14)

файл шифровальщика еще в ОЗУ.

Если систему еще не перегрузили, пробуйте сделать дамп памяти.

1.. Делаем полный физический дамп памяти, например с помощью Elcomsoft Forensic Disk Decryptor

Для сохранения дампа можно использовать, например, c:\windows\temp

После сохранения дампа процесс () [Файл не подписан] C:\Users\kdi\Music\ant dec\ant dec\ant gmail.exe лучше закрыть.

2. загружаем дамп (в архиве, без пароля) на общедоступный облачный диск, готовим ссылку на данный архив. Ссылку добавить здесь, в ЛС.

+

пришлите в архиве без пароля эт файлы:

2026-01-08 08:03 - 2026-01-08 08:03 - 000002032 _____ C:\WINDOWS\system32\HOP.KEY
2026-01-08 06:29 - 2026-01-08 06:29 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 06:29 - 2026-01-08 06:29 - 000000015 _____ C:\ProgramData\IDk.txt

Изменено вчера в 13:49 пользователем safety

вчера в 14:11

при попытке сохранения дампа, комп перезагрузился. после перезагрузки ant gmail в запущенных нет. смысла снимать дамп памяти после перезагрузки нет?

доп: после перезагрузки запустил снятие дампа заново. он так же перезагрузился.

hop.zip

Изменено вчера в 14:18 пользователем initoff

вчера в 14:17

Цитата

при попытке сохранения дампа, комп перезагрузился. после перезагрузки ant gmail в запущенных нет. смысла снимать дамп памяти после перезагрузки нет?

да, теперь уже дамп бесполезен.

Эту папку заархивируйте с паролем virus, добавьте в ваше сообщение.

C:\Users\kdi\Music\ant dec

Изменено вчера в 14:18 пользователем safety

вчера в 14:27

файл загружен, ссылка удалена

не влез в 5 мб

Изменено вчера в 14:41 пользователем safety
файл загружен, ссылка удалена.

вчера в 14:42

На других зашифрованных устройствах такая же картина?

вчера в 14:44

выглядит так же. ant dec.
может я не совсем понимаю вопрос?

вчера в 14:54

Сделайте логи FRST на другом устройстве, так чтобы не было перезагрузки системы.

Если там есть в памяти этот процесс ant gmail.exe, закройте его через диспетчер процессов,

Цитата

доп: после перезагрузки запустил снятие дампа заново. он так же перезагрузился.

Может места было недостаточно на системном диске?

Изменено вчера в 15:03 пользователем safety

вчера в 15:20

места на системном диске было достаточно.

с другими устройствами, пока проблемно подключиться(точнее проблемы с обменом файлами). они все не в физ доступе.

как что-то получится. выложу.

спасибо большое за помощь.

вчера в 15:27

Судя по первому логу этот файл ant gmail.exe не в автозапуске, запускают возможно вручную с рабочего стола.

С этим типом пока много вопросов из того что связано с расшифровкой файлов.

вчера в 16:18

вот с другого пк без перезагрузки

FRST.txt Addition.txt

21 час назад

еще с одного компа
дамп памяти до перезагрузки с закрытым ant gmail.
https://disk.yandex.ru/d/CbcDXbKgQ3_j6A

FRST.txt Addition.txt

17 часов назад

8 часов назад, initoff сказал:

вот с другого пк без перезагрузки

FRST.txt 52.15 kB · 0 загрузок Addition.txt 34.85 kB · 0 загрузок

Эти файлы важны для получения ключа, точнее HOP.KEY, pkey.txt важен для контроля приватного ключа.

2026-01-08 06:46 - 2026-01-08 06:46 - 000002032 _____ C:\Windows\system32\HOP.KEY
2026-01-08 06:46 - 2026-01-08 06:46 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 06:46 - 2026-01-08 06:46 - 000000015 _____ C:\ProgramData\IDk.txt

и по каждому ПК свой приватный ключ

+

для доп. анализа проверьте ЛС

Изменено 17 часов назад пользователем safety

17 часов назад

4 часа назад, initoff сказал:

еще с одного компа
дамп памяти до перезагрузки с закрытым ant gmail.

2026-01-08 08:14 - 2026-01-08 08:14 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 08:14 - 2026-01-08 08:14 - 000000015 _____ C:\ProgramData\IDk.txt

2026-01-08 08:15 - 2026-01-08 08:15 - 000002032 _____ C:\Windows\system32\HOP.KEY

10 часов назад

6 часов назад, safety сказал:

2026-01-08 08:14 - 2026-01-08 08:14 - 000000398 _____ C:\ProgramData\pkey.txt
2026-01-08 08:14 - 2026-01-08 08:14 - 000000015 _____ C:\ProgramData\IDk.txt

2026-01-08 08:15 - 2026-01-08 08:15 - 000002032 _____ C:\Windows\system32\HOP.KEY

там где ссылка на дамп на яндекс диск, эти файлы в архиве по ссылке, вместе с дампом

15 часов назад, initoff сказал:

вот с другого пк без перезагрузки

FRST.txt 52.15 kB · 1 загрузка Addition.txt 34.85 kB · 1 загрузка

hop+pkey+idk.zip

ouroboros шифровальщик *.ant_dec

Рекомендуемые сообщения

initoff

safety

initoff

safety

initoff

safety

initoff

safety

initoff

safety

initoff

initoff

safety

safety

initoff

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum