{
	"id": "2ecb28db-386c-476c-9601-19b9eba757a0",
	"created_at": "2026-04-06T00:09:48.842071Z",
	"updated_at": "2026-04-10T03:21:43.620883Z",
	"deleted_at": null,
	"sha1_hash": "05002f684f73914e0773fa97c25bfc81eb24dd26",
	"title": "WannaRen, WannaMine",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 424767,
	"plain_text": "WannaRen, WannaMine\r\nArchived: 2026-04-05 21:23:33 UTC\r\nWannaRen Ransomware\r\nAliases: WannaMine\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в\r\n0.05 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет\r\nданных. Языки программирования: C, C++ и другие. Разработчик: \"Hidden Shadow\". \r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31521, Trojan.Inject3.38143\r\nBitDefender -\u003e Trojan.GenericKD.33613306, Trojan.GenericKD.33625530\r\nESET-NOD32 -\u003e A Variant Of Win32/Packed.VMProtect.QL, Win32/Injector.BBYK\r\nMalwarebytes -\u003e Trojan.MalPack.VMP\r\nRising -\u003e Ransom.WannaRen!1.C49F (CLOUD), Trojan.Win32.Generic.1A *\r\nSymantec -\u003e Ransom.Cryptolocker\r\nTrendMicro -\u003e Ransom.Win32.WANNAREN.A, Ransom.Win32.WANNAREN.B\r\n---\r\n© Генеалогия: XiaoBa + ??? \u003e\u003e WannaRen\r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .WannaRen Внимание! Новые расширения,\r\nhttps://id-ransomware.blogspot.com/2020/03/wannaren-ransomware.html\r\nPage 1 of 7\n\nemail и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с\r\nпервоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на конец марта -начало апреля 2020 г. Ориентирован на\r\nкитайскоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗапиской с требованием выкупа выступает экран блокировки: \r\nСодержание текста о выкупе:\r\n我的電腦出了什麽問題？\r\nhttps://id-ransomware.blogspot.com/2020/03/wannaren-ransomware.html\r\nPage 2 of 7\n\n您的壹些重要文件被我加密保存了。\r\n照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等，幾乎所有類型的文件都被加密了，因此不能\r\n正常打開。\r\n這和壹般文件損壞有本質上的區別。\r\n您大可在網上找找恢復文件的方法，我敢保證，沒有我們的解密服務，就算老天爺來了也不能恢復這些\r\n文檔。\r\n有沒有恢復這些文檔的方法？\r\n當然有可恢復的方法。只能通過我們的解密服務才能恢復。我以人格擔保，能夠提供安全有效的恢復服\r\n務。\r\n但這是收費的，也不能無限期的推遲。\r\n但想要恢復全部文檔，需要付款點費用。\r\n是否隨時都可以固定金額付款，就會恢復的嗎，當然不是，推遲付款時間越長對妳不利。\r\n最好3天之內付款費用，過了三天費用就會翻倍。\r\n還有，壹個禮拜之內未付款，將會永遠恢復不了。\r\n我們只會接受比特幣。首先，您需要支付解密服務費。\r\n請發送0.05個的比特幣到該比特幣地址：1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM\r\n發送以後，請復制本軟件上的本機KEY和您付款給我們比特幣的時間發送到我們的郵箱地址\r\nWannaRenemal@goat.si 。\r\n我們收到比特幣以後就會把您的解密密碼發送到您的郵箱。您拿到密碼以後，在本軟件上輸入密碼，就\r\n可以解密所有文件！\r\n聯系方式：WannaRenemal@goat.si\r\n我強烈建議，為了避免不必要的麻煩，恢復工作結束之前，請不要關閉或者刪除該軟件，並且暫停殺毒\r\n軟件。 \r\n不管由於什麽原因，萬壹該軟件被刪除了，\r\n***\r\nПеревод текста на русский язык:\r\nЧто не так с моим компьютером?\r\nНекоторые из ваших важных документов зашифрованы и сохранены мной.\r\nФото, изображения, документы, архивы, аудио, видео файлы, exe-файлы и т. д., почти все типы файлов\r\nзашифрованы, поэтому их нельзя открыть как обычно.\r\nЭто существенно отличается от обычного повреждения файлов.\r\nВы можете найти способ восстановить файлы онлайн. Я гарантирую, что без нашего сервиса дешифровки,\r\nдаже с Божьей помощью, эти файлы не могут быть восстановлены.\r\nЕсть ли способ восстановить эти документы?\r\nКонечно, есть способ восстановления. Их можно восстановить только через наш сервис дешифровки. Я\r\nлично гарантирую, что могу предоставить безопасные и эффективные услуги по восстановлению.\r\nТем не менее, это платно и не может быть отложено на какой-то срок.\r\nНо если вы хотите восстановить все документы, вам нужно заплатить.\r\nМожно в любое время внести фиксированную плату, но не в ваших интересах откладывать платеж.\r\nЛучше всего оплатить в течение 3 дней, а через три дня плата удвоится.\r\nКроме того, если оплата не будет сделана в течение недели, файлы никогда не будут восстановлены.\r\nhttps://id-ransomware.blogspot.com/2020/03/wannaren-ransomware.html\r\nPage 3 of 7\n\nМы принимаем только биткойны. В первую очередь вам надо оплатить услугу дешифровки.\r\nПожалуйста, отправьте 0.05 BTC на этот биткойн-адрес: 1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM\r\nПосле отправки, скопируйте в эту программу ключ и время, когда вы заплатили нам Bitcoin и отправьте на\r\nнаш email WannaRenemal@goat.si.\r\nПосле того как мы получим биткойны, мы отправим ваш пароль для расшифровки на ваш email. После\r\nтого, как вы получите пароль, введите его в эту программу, чтобы расшифровать все файлы!\r\nКонтакт: WannaRenemal@goat.si\r\nЯ рекомендую во избежание ненужных проблем не закрывать и не удалять программу и не прерывать\r\nработу антивируса до окончания работ по восстановлению.\r\nПо какой-либо причине, в случае удаления программы, \r\n***\r\nЕсть также версия с текстовой запиской о выкупе. Там текст на китайском и английском языках. \r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Используется уязвимость EternalBlue и Windows PowerShell для осуществления атаки. Список\r\nфайловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nhttps://id-ransomware.blogspot.com/2020/03/wannaren-ransomware.html\r\nPage 4 of 7\n\n@WannaRen@.exe\r\n@Wanna.exe\r\n22640-1de73f49db23cf5cc6e06f47767f7fda.exe\r\n\u003cransom_note\u003e.txt - название файла с требованием выкупа\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\user\\Desktop\\@Wanna.exe\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы: WannaRenL\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: WannaReneval@goat.si\r\nBTC: 1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT (injector) \u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/03/wannaren-ransomware.html\r\nPage 5 of 7\n\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nЕщё не было обновлений этого варианта.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + Tw + Tw + myTweet\r\n ID Ransomware (ID as WannaRen)\r\n Write-up, Write-up, Topic of Support\r\n *\r\n Thanks:\r\n petrovic082, GrujaRS, Michael Gillespie, Jirehlov\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nhttps://id-ransomware.blogspot.com/2020/03/wannaren-ransomware.html\r\nPage 6 of 7\n\nSource: https://id-ransomware.blogspot.com/2020/03/wannaren-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/03/wannaren-ransomware.html\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/03/wannaren-ransomware.html"
	],
	"report_names": [
		"wannaren-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434188,
	"ts_updated_at": 1775791303,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/05002f684f73914e0773fa97c25bfc81eb24dd26.pdf",
		"text": "https://archive.orkl.eu/05002f684f73914e0773fa97c25bfc81eb24dd26.txt",
		"img": "https://archive.orkl.eu/05002f684f73914e0773fa97c25bfc81eb24dd26.jpg"
	}
}