ouroboros Атака шифровальщиком организации

[Vlads]

Сегодня утром подверглись атаке шифровальщика. Вирус распространился по всей системе и зашифровал все бэкапы и базы данных. Все файлы имеют расширение "ant_dec" и в каждой из папок находится txt файл с запиской о выкупе. Прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool и два зашифрованных документа согласно инструкции, а также файл с требованиями злоумышленников. Файл шифровальщика не удалось отыскать. Так же положил в архив файл HOP.KEY - ключ который требует злоумышленник для расшифровки данных находящийся из C:\Windows\System32.

Для дешифровки.zip

[safety]

Эти файлы добавьте так же в один архив keys, без пароля.

2026-02-02 06:04 - 2026-02-02 06:04 - 000002032 _____ C:\Windows\system32\HOP.KEY
2026-02-02 06:03 - 2026-02-02 06:03 - 000000398 _____ C:\ProgramData\pkey.txt
2026-02-02 06:03 - 2026-02-02 06:03 - 000000015 _____ C:\ProgramData\IDk.txt

+

выполните поиск этих файлов на системном диске:

ant_gmail.exe

enc.exe

+

Если систему сканировали в KVRT, Cureit или штатным антивирусом, добавьте отчеты сканирования, в архиве, без пароля.

[Vlads]

8 минут назад, safety сказал:

Эти файлы добавьте так же в один архив keys, без пароля.

2026-02-02 06:04 - 2026-02-02 06:04 - 000002032 _____ C:\Windows\system32\HOP.KEY
2026-02-02 06:03 - 2026-02-02 06:03 - 000000398 _____ C:\ProgramData\pkey.txt
2026-02-02 06:03 - 2026-02-02 06:03 - 000000015 _____ C:\ProgramData\IDk.txt

 

Также добавил файл HOP.KEY из папки C:\ProgramData\ на всякий случай

keys.zip

[safety]

+

выполните поиск этих файлов на системном диске:

ant_gmail.exe

enc.exe

+

Если систему сканировали в KVRT, Cureit или штатным антивирусом, добавьте отчеты сканирования, в архиве, без пароля.

[MikeOne]

Прошу прощения что вмешиваюсь в вашу тему,

 

Изменено 2 февраля пользователем safety
update

[safety]

15 минут назад, MikeOne сказал:

Прошу прощения что вмешиваюсь в вашу тему,

 

Раз понимаете это, то создайте отдельную тему по правилам, не усложняйте работу консультантам.

[Vlads]

Прикрепляю файл отчёта о сканировании с помощью Cureit, а также понял что забыл прикрепить файл с требованиями злоумышленников по этому прикрепил его тоже. Также нашел файл ant gmail.exe. Подскажите что с ним делать? Можно ли его прикреплять здесь? Завернуть в архив с паролем "virus"?

decrypt.zip

[safety]

C:\users\usr1cv8\music\ant dec\ant gmail.exe - infected with Trojan.Encoder.38008
C:\users\usr1cv8\music\ant dec\ant gmail.exe - infected - 23ms, 1282560 bytes

 

 

Эту папку заархивируйте с паролем  virus, загрузите архив на облачный диск, дайте ссылку на скачивание здесь

Цитата

C:\users\usr1cv8\music\ant dec

 

Изменено 2 февраля пользователем safety

[Vlads]

Ссылка на архив с директорией "ant dec" -  архив загружен, ссылка удалена

Изменено 2 февраля пользователем safety

[safety]

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [cmsc] => "c:\program files (x86)\cmcm\Clean Master\cmtray.exe" -autorun (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\I.Shulgin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dectryption-guide.txt [2026-02-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.[MJ-NB7659082314](lock01ant@gmail.com ).ant_dec [2026-02-02]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dectryption-guide.txt [2026-02-02] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
S3 AIDA64Driver; \??\C:\Users\KlimenkoV\Desktop\aida64extreme690\kerneld.x64 [X]
S3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X]
C:\users\usr1cv8\music\ant dec
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Vlads]

Файл Fixlog.txt

Fixlog.txt

[safety]

Для доп.анализа проверьте ЛС

[safety]

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);