{ "id": "47a03a54-9a1d-407e-b84f-de2b9d712571", "created_at": "2026-04-06T00:16:10.377Z", "updated_at": "2026-04-10T13:12:26.50837Z", "deleted_at": null, "sha1_hash": "094729ec7467138756bf785dd4de742f187f694a", "title": "Шифровальщики-вымогатели The Digest \"Crypto-Ransomware\"", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1523028, "plain_text": "Шифровальщики-вымогатели The Digest \"Crypto-Ransomware\"\r\nArchived: 2026-04-05 12:44:46 UTC\r\nABCD Ransomware\r\nLockBit, LockBit 2.0 Ransomware\r\nLock2Bits Ransomware\r\nLuckyDay Ransomware\r\nLockBit NextGen \r\nLockBit 3.0 Ransomware\r\nLockBit 4.0 Ransomware\r\nLockBit 5.0 Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью AES + RSA, а\r\nзатем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в ранних вариантах в записке\r\nне было указано. Потому для этой статьи первым было выбрано название ABCD по используемому\r\nрасширению .abcd.Позже, в конце декабря 2019, в коде и названии появилось слово LockBit, потом стало\r\nиспользоваться расширение .lockbit. Дальше — больше. Похоже на то, что вымогатели не знают как себя\r\nназвать и постоянно меняют названия. По предварительным и частично подтвержденным данным среди\r\nтех, кто стоит за распространением ранних вариантов ABCD, LockBit стоят русскоязычные хакеры, в том\r\nчисле граждане России, Украины, США, Канады и других стран. \r\nЕще позже появились более новые версии: 3.0, 4.0, 5.0. См. ниже образцы.\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.29662, Trojan.Encoder.30295, Trojan.Encoder.30886, Trojan.Encoder.31783\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.3, Gen:Heur.Ransom.Imps.1, Trojan.GenericKD.33815280, A Variant Of\r\nWin32/Kryptik.HDGL\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 1 of 28\n\nMalwarebytes -\u003e Ransom.LockBit\r\nMcAfee -\u003e RDN/Ransom, Ransom-Lkbot!75C039742AFD\r\nMicrosoft -\u003e Ransom:Win32/LockBit.A!MTB, Ransom:Win32/LokiBot!MSR\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.NXQ\r\nAvira (no cloud) -\u003e TR/Downloader.Gen, TR/Crypt.ZPACK.Gen\r\nSymantec -\u003e ML.Attribute.HighConfidence, Downloader\r\n© Генеалогия: LockerGoga \u003e MegaCortex \u003e Good (Goodmen), ABCD\r\n(LockBit), PhobosImposter \u003e Lock2Bits \u003e LockBit 2.0 \u003e LockBit 3.0 \u003e CriptomanGizmo и другие\r\n\u003e LockBit NextGen \r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .abcd Внимание! Новые расширения, email и\r\nтексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным\r\nвариантом. \r\nАктивность раннего вариант этого крипто-вымогателя пришлась на середину октября 2019 г. Позже\r\nвымогатели придумали этому \"чуду\" название и стали распространять это как LockBit. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру. В январе 2020\r\nпострадавшие были из США, Германии, Франции, Китая. \r\nЗаписка с требованием выкупа называется: Restore-My-Files.txt\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 2 of 28\n\nСодержание записки о выкупе:\r\nAll your important files are encrypted!\r\nThere is  only one way to get your files back:\r\n1. Contact with us\r\n2. Send us 1 any encrypted your file and your personal key\r\n3. We will decrypt 1 file for test(maximum file size - 1 MB), its guarantee what we can decrypt your files\r\n4. Pay\r\n5. We send for you decryptor software\r\nWe accept Bitcoin\r\nAttention!\r\nDo not rename encrypted files.\r\nDo not try to decrypt using third party software, it may cause permanent data loss.\r\nDecryption of your files with the help of third parties may cause increased  price(they add their fee to our)\r\nContact information: goeila@countermail.com\r\nBe sure to duplicate your message on the e-mail: gupzkz@cock.li\r\nYour personal id: \r\nDR2JZobWr9AxQofCDEkqc8wZxBVcgqHrwHxURb/Ty6zmkjUAbPlY6QpYLTlnhROL\r\n*****\r\nПеревод записки на русский язык:\r\nВсе ваши важные файлы зашифрованы!\r\nЕсть только один способ вернуть ваши файлы:\r\n1. Свяжитесь с нами\r\n2. Отправьте нам 1 любой зашифрованный файл и ваш личный ключ\r\n3. Мы расшифруем 1 файл для теста (максимальный размер файла - 1 МБ), это гарантирует, что мы можем\r\nрасшифровать ваши файлы\r\n4. Оплатить\r\n5. Мы вышлем вам программу расшифровки\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 3 of 28\n\nМы принимаем биткойны\r\nВнимание!\r\nНе переименовывайте зашифрованные файлы.\r\nНе пытайтесь расшифровать с помощью сторонних программ, это может привести к постоянной потере\r\nданных.\r\nРасшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют\r\nсвою плату к нашей)\r\nКонтактная информация: goeila@countermail.com\r\nНе забудьте продублировать ваше сообщение на email: gupzkz@cock.li\r\nВаш личный id: \r\nDR2JZobWr9AxQofCDEkqc8wZxBVcgqHrwHxURb / Ty6zmkjUAbPlY6QpYLTlnhROL\r\n*****\r\n[всего 1708 знаков]\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Использует технологию обхода UAC. \r\n➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе\r\nзагрузки. Очищает журналы Windows.\r\nvssadmin delete shadows /all /quiet\r\nwmic shadowcopy delete\r\nbcdedit /set {default} bootstatuspolicy ignoreallfailures\r\nbcdedit /set {default} recoveryenabled no\r\nC:\\Windows\\System32\\cmd.exe /c vssadmin delete shadows /all /quiet \u0026 wmic shadowcopy delete \u0026 bcdedit /set\r\n{default} bootstatuspolicy ignoreallfailures \u0026 bcdedit /set {default} recoveryenabled no \u0026 wbadmin delete\r\ncatalog -quiet\r\n➤ Использует белый список стран и языковых локализаций стран СНГ, в которых шифрование не должно\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 4 of 28\n\nосуществляться. Список прилагается. \r\nАзербайджанский (кириллица)\r\nАзербайджанский (латиница)\r\nАрмянский\r\nБелорусский\r\nГрузинский\r\nКазахский\r\nКиргизский (кириллица)\r\nРусский\r\nРусский (Молдова)\r\nТаджикский\r\nТуркменский\r\nУзбекский (кириллица)\r\nУзбекский (латиница)\r\nУкраинский\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nRestore-My-Files.txt\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: goeila@countermail.com, gupzkz@cock.li\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 5 of 28\n\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nНекоторые другие более новые образцы можно найти на сайте BA:\r\nhttps://bazaar.abuse.ch/browse/tag/lockbit/\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nABCD Ransomware - с октября 2019 \r\nLockBit Ransomware - с декабря 2019 \r\nLock2Bit Ransomware - с мая 2020\r\nLockBit 2.0 Ransomware - с июля 2021\r\nLockBit 3.0 Ransomware - с марта 2022\r\n---\r\nОтдельное использование кода LockBit Ransomware: \r\nLockFile Ransomware - июль - август 2021\r\nAtomSilo Ransomware - сентябрь - декабрь 2021\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 14 ноября 2019:\r\nПост на форуме \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .abcd\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 6 of 28\n\nЗаписка: Restore-My-Files.txt\r\nEmail: supportpc@cock.li, goodsupport@cock.li\r\n➤ Содержание записки: \r\nAll your important files are encrypted!\r\nThere is  only one way to get your files back:\r\n1. Contact with us\r\n2. Send us 1 any encrypted your file and your personal key\r\n3. We will decrypt 1 file for test(maximum file size - 1 MB), its guarantee what we can decrypt your files\r\n4. Pay\r\n5. We send for you decryptor software\r\nWe accept Bitcoin\r\nAttention!\r\nDo not rename encrypted files.\r\nDo not try to decrypt using third party software, it may cause permanent data loss.\r\nDecryption of your files with the help of third parties may cause increased  price(they add their fee to our)\r\nContact information: supportpc@cock.li\r\nBe sure to duplicate your message on the e-mail: goodsupport@cock.li\r\nYour personal id: \r\n ceipl0Z10GtMlyTWzHn0YOT7T2+KrRjZDspX3+6*** [всего 1708 знаков]\r\nОбновление от 4 декабря 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .abcd\r\nЗаписка: Restore-My-Files.txt\r\nEmail: abcd-help@countermail.com, supportpc@cock.li\r\nРезультаты анализов: VT\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 7 of 28\n\n➤ Содержание записки: \r\nAll your important files are encrypted!\r\nThere is only one way to get your files back:\r\n1. Contact with us\r\n2. Send us 1 any encrypted your file and your personal key\r\n3. We will decrypt 1 file for test(maximum file size - 1 MB), its guarantee what we can decrypt your files\r\n4. Pay\r\n5. We send for you decryptor software\r\nWe accept Bitcoin\r\nAttention!\r\nDo not rename encrypted files.\r\nDo not try to decrypt using third party software, it may cause permanent data loss.\r\nDecryption of your files with the help of third parties may cause increased price(they add their fee to our)\r\nabcd-help@countermail.com\r\nContact information:\r\nBe sure to duplicate your message on the e-mail: supportpc@cock.li\r\nYour personal id:\r\nDsEj52CLMwaPyDAR95szCVtqlViG4g2zBK5j57X46gPEI2Ox/Z77***\r\nОбновление от 30-31 декабря 2019:\r\nПост в Твиттере \u003e\u003e\r\nНовое название \"LockBit\". \r\nВымогатели обновили свой код, стали добавлять расшиерние .lockbit к зашифрованным файла и стали\r\nиспользовать название LockBit в записке о выкупе, отказавшись от почты с этим логином abcd.\r\nЗлоумышленник стали использовать свою собственную инфраструктуру для переговоров с жертвой. \r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 8 of 28\n\nДля сравнения записки старого и нового варианта. \r\nМы добавили новое название в заголовок статьи, т.к. в ID Ransomware для идентификации также стало\r\nиспользоваться это слово.  \r\nБыла запущена RaaS LockBitОбновление от 23-30 января 2020:\r\nПост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .lockbit\r\nЗаписка: Restore-My-Files.txt\r\nОбход UAC: CMSTPLUA, ColorDataProxy, ICMCalibration\r\nРаздел реестра: HKEY_CURRENT_USER\\Software\\LockBit\r\n➤ Команда удаления теневых копий и путей восстановления: \r\nC:\\Windows\\System32\\cmd.exe\" /c vssadmin delete shadows /all /quiet \u0026 wmic shadowcopy delete \u0026 bcdedit /set\r\n{default} bootstatuspolicy ignoreallfailures \u0026 bcdedit /set {default} recoveryenabled no \u0026 wbadmin delete\r\ncatalog -quiet\r\nФайл: C:\\Users\\Admin\\AppData\\Local\\Temp\\Lockbit.exe\r\nРезультаты анализов: VT + AR + AR + IA + IA + HA + VMR + TG\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.30886\r\nAvast -\u003e Win32:Fraudo [Trj]\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.1, Generic.Ransom.LockBit.91CBD888\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.NXQ\r\nMalwarebytes -\u003e Ransom.LockBit\r\nMcAfee -\u003e Ransom-Lkbit!889328E2CF5F\r\nMicrosoft -\u003e Ransom:Win32/LokiBot!MSR\r\nRising -\u003e Trojan.Crypto!8.364 (CLOUD)\r\nTrendMicro -\u003e Trojan.Win32.WACATAC.THABGBO, Ransom.Win32.LOCKBIT.A\r\n➤ Содержание записки:\r\nAll your important files are encrypted!\r\nAny attempts to restore your files with the thrid-party software will be fatal for your files!\r\nRESTORE YOU DATA POSIBLE ONLY BUYING private key from us.\r\nThere is only one way to get your files back:\r\n| 1. Download Tor browser - hxxxs://www.torproject.org/ and install it.\r\n| 2. Open link in TOR browser - hxxx://lockbitks2tvnmwk.onion/?D0407AC9D97C78CB9C256CA4731DB5D5\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 9 of 28\n\nThis link only works in Tor Browser! \r\n| 3. Follow the instructions on this page\r\n ###  Attention! ###\r\n # Do not rename encrypted files.\r\n # Do not try to decrypt using third party software, it may cause permanent data loss.\r\n # Decryption of your files with the help of third parties may cause increased price(they add their fee to our)\r\n # Tor Browser may be blocked in your country or corporate network. Use https://bridges.torproject.org \r\n # Tor Browser user manual https://tb-manual.torproject.org/about\r\n---\r\n \r\n \r\n \r\nОбновление от 2 февраля 2020: \r\nРасширение: .lockbit\r\nЗаписка: Restore-My-Files.txt\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 10 of 28\n\nРезультаты анализа: VT + AR\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.30932\r\nBitDefender -\u003e Generic.Ransom.LockBit.82A7AF3B\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Lockbit.B\r\nMicrosoft -\u003e Ransom:Win32/LockBit.PA!MTB\r\nTrendMicro -\u003e Ransom.Win32.LOCKBIT.SMDS\r\nОбновление от 6 февраля 2020:\r\nРасширение: .abcd\r\nЗаписка: Restore-My-Files.txt\r\nEmail: pcabcd@countermail.com, recoverymanager@cock.li\r\n➤ Содержание записки:\r\nAll your important files are encrypted!\r\nThere is  only one way to get your files back:\r\n1. Contact with us\r\n2. Send us 1 any encrypted your file and your personal key\r\n3. We will decrypt 1 file for test(maximum file size - 1 MB), its guarantee what we can decrypt your files\r\n4. Pay\r\n5. We send for you decryptor software\r\nWe accept Bitcoin\r\nAttention!\r\nDo not rename encrypted files.\r\nDo not try to decrypt using third party software, it may cause permanent data loss.\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 11 of 28\n\nDecryption of your files with the help of third parties may cause increased  price(they add their fee to our)\r\nContact information: pcabcd@countermail.com\r\nBe sure to duplicate your message on the e-mail: recoverymanager@cock.li\r\nYour personal id: \r\n*** [всего 1708 знаков]\r\nОбновление от 14 февраля 2020:\r\nРасширение: .lockbit\r\nЗаписка: Restore-My-Files.txt\r\nРезультаты анализа: VT + AR + IA\r\nОбнаружения: \r\nBitDefender -\u003e Generic.Ransom.LockBit.91CBD888\r\nDrWeb -\u003e Trojan.Encoder.30886\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Lockbit.B\r\nMicrosoft -\u003e Ransom:Win32/LokiBot!MSR\r\nTrendMicro -\u003e Ransom.Win32.LOCKBIT.SMDS\r\nОбновление от 14 февраля 2020:\r\nПост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .lockbit\r\nЗаписка: Restore-My-Files.txt\r\nTor-URL: hxxx://lockbitks2tvnmwk.onion/*\r\nФайл: sh1.exe\r\nИспользует сертификат от Sectigo. \r\nРезультаты анализов: VT + AR \r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 12 of 28\n\nОбновление от 24 марта 2020:\r\nРасширение: .lockbit\r\nЗаписка: Restore-My-Files.txt\r\nРезультаты анализов: VT + VMR\r\nОбновление от 4 апреля 2020:\r\nРасширение: .lockbit\r\nЗаписка: Restore-My-Files.txt\r\n➤ Содержание записки:\r\nAll your important files are encrypted!\r\nAny attempts to restore your files with the thrid-party software will be fatal for your files!\r\nRESTORE YOU DATA POSIBLE ONLY BUYING private key from us.\r\nThere is only one way to get your files back:\r\n| 1. Download Tor browser - https://www.torproject.org/ and install it.\r\n| 2. Open link in TOR browser - hxxx://lockbitks2tvnmwk.onion/?962823C4EBE6623DCA2071AC9B8BA4BD\r\nThis link only works in Tor Browser! \r\n| 3. Follow the instructions on this page\r\n ###  Attention! ###\r\n # Do not rename encrypted files.\r\n # Do not try to decrypt using third party software, it may cause permanent data loss.\r\n # Decryption of your files with the help of third parties may cause increased price(they add their fee to our).\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 13 of 28\n\n# Tor Browser may be blocked in your country or corporate network. Use https://bridges.torproject.org or use Tor\r\nBrowser over VPN.\r\n # Tor Browser user manual https://tb-manual.torproject.org/about \r\n!!! We also download huge amount of your private data, including finance information, clients personal info,\r\nnetwork diagrams, passwords and so on.\r\nDon't forget about GDPR.\r\n---\r\nСодержание сайта, открываемого по ссылке:\r\nxxxx://lockbitks2tvnmwk.onion/?962823C4EBE6623DCA2071AC9B8BA4BD\r\nДве картинки из чата с характерными названиями. \r\nОбновление от 10-13 мая 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .lockbit\r\nЗаписка: Restore-My-Files.txt\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 14 of 28\n\nURL: xxxx://lockbit-decryptor.com/***\r\nTor-URL: xxxx://lockbitks2tvnmwk.onion/***\r\nТакже используется изображение, заменяющее обои Рабочего стола. \r\n \r\nРезультаты анализов: VT + HA + IA + AR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.31783\r\nBitDefender -\u003e Trojan.GenericKD.33815280\r\nESET-NOD32 -\u003e A Variant Of Win32/Kryptik.HDGL\r\nMalwarebytes -\u003e Ransom.LockBit\r\nTrendMicro -\u003e TROJ_GEN.R011C0WEB20\r\nОбновление от 12 мая 2020:\r\nИдентифицируется как Lock2Bits\r\nРасширение: .lock2bits\r\nЗаписки и зашифрованные форматы файлов LockBit и Lock2Bit отличаются. \r\nОбновление июня 2020: \r\nВ июне 2020 года LockBit и четыре другие банды вымогателей объявили о новом партнерстве с целью\r\nсоздания первого в мире картеля вымогателей - Ransom Cartel.\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 15 of 28\n\nПозже стало известно, что эти группы сотрудничали и делились между собой некоторыми ресурсами,\r\nтакими как данные о жертвах и инфраструктура. Например, группа LockBit делилась украденными\r\nданными жертв с Twisted Spider, который руководил операциями по вымогательству Maze \u0026 Egregor. Так\r\nTwisted Spider разместил данные одной из жертв LockBit на своем сайте утечки, чтобы еще больше оказать\r\nдавление на жертву. Группы также поделились тактикой. Например, Twisted Spider — первая группа\r\nвымогателей, похитившая конфиденциальные данные и использующая их для повторного вымогательства.\r\nLockBit был одним из первых, кто применил эту тактику и использовал ее в своих собственных атаках.\r\nВполне возможно, что LockBit первыми применили шифрование MBR в дополнение к системным данным\r\nв своих атаках. LockBit даже взял аспекты дизайна из разработки кода, первоначально использованного в\r\nпрограмме-вымогателе Twisted Spider Egregor, например, уникальные методы антианализа,\r\nинтегрированные в их полезную нагрузку. Но вполне возможно, что эти 5 групп лишь использовали\r\nкартель как самопиар, чтобы повысить свою криминальную репутацию и получить известность. В\r\nнастоящим картеле должны быть два основных компонента: лидерство и деньги. У данного Ransom Cartel\r\nэтого не было. Они зарабатывали много денег, но между ними не было модели распределения доходов.\r\nВместо этого каждый оставлял себе деньги, которые вымогал, и делился только доходом в рамках своей\r\nоперации.  \r\nОбновление от 22 июля 2020 или раньше:\r\nПост на форуме \u003e\u003e\r\nРасширение: .lockbit\r\nЗаписка: Restore-My-Files.txt \r\n \r\n➤ Содержание записки:\r\nAll your important files are encrypted!\r\nAny attempts to restore your files with the thrid-party software will be fatal for your files!\r\nRESTORE YOU DATA POSIBLE ONLY BUYING private key from us.\r\nThere is only one way to get your files back:\r\n1) Through a standard browser(FireFox, Chrome, Edge, Opera)\r\n| 1. Open link hxxx://lockbit-decryptor.com/?A206EAF373BB05F8CAD0F191390CB897\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 16 of 28\n\n| 2. Follow the instructions on this page\r\n2) Through a Tor Browser - recommended\r\n| 1. Download Tor browser - https://www.torproject.org/ and install it.\r\n| 2. Open link in TOR browser - hxxx://lockbitks2tvnmwk.onion/?A206EAF373BB05F8CAD0F191390CB897\r\nThis link only works in Tor Browser! \r\n| 3. Follow the instructions on this page\r\n ###  Attention! ###\r\n # lockbit-decryptor.com may be blocked. We recommend using a Tor browser to access the site\r\n # Do not rename encrypted files.\r\n # Do not try to decrypt using third party software, it may cause permanent data loss.\r\n # Decryption of your files with the help of third parties may cause increased price(they add their fee to our).\r\n # Tor Browser may be blocked in your country or corporate network. Use https://bridges.torproject.org or use Tor\r\nBrowser over VPN.\r\n # Tor Browser user manual https://tb-manual.torproject.org/about\r\n---\r\nОбновление от 16 августа 2020:\r\nПост в Твиттере \u003e\u003e\r\nURL: hxxx://lockbit-decryptor.com/***\r\nTor-URL: hxxx://lockbitks2tvnmwk.onion/***\r\nРезультаты анализов: VT + VT\r\n \r\nОбновление от 5 ноября 2020:\r\nLock2Bits переименовывается в LuckyDay. \r\nРасширение: .luckyday\r\nЗаписка: File Recovery.txt\r\nTor-URL: luckydaynywoklzy.onion\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 17 of 28\n\nОбновление от 17 ноября 2020:\r\nРасширение: .lockbit \r\nTor-URL: hxxx://lockbitks2tvnmwk.onion/*\r\nРезультаты анализов: VT + IA\r\nВариант от 6 января 2021:\r\nВариант от 15 июля 2021 или раньше:\r\nВерсия: LockBit 2.0 (LockBit Red)\r\nЗаписка: Restore-My-Files.txt\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 18 of 28\n\nРезультаты анализов: VT \r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.34148\r\nBitDefender -\u003e Trojan.Generic.30034101\r\nESET-NOD32 -\u003e Win32/Filecoder.Lockbit.E\r\nMalwarebytes -\u003e Ransom.LockBit\r\nMicrosoft -\u003e Ransom:Win32/Lockbit.AA!MTB\r\nSymantec -\u003e Trojan.Gen.MBT\r\nTencent -\u003e Win32.Trojan.Encoder.Hvte\r\nTrendMicro -\u003e Ransom_Lockbit.R011C0DGH\r\nВариант от 1 сентября 2021:\r\nВариант от 23 сентября 2021:\r\nLockBit 2.0 Ransomware\r\nЗаписка: Restore-My-Files.txt\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 19 of 28\n\nРезультаты анализов: VT + AR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.34248\r\nALYac -\u003e Trojan.Ransom.LockBit\r\nAvira (no cloud) -\u003e TR/Crypt.XPACK.Gen\r\nBitDefender -\u003e Trojan.GenericKD.47129320\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Lockbit.E\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Win32.Lockbit.gen\r\nMalwarebytes -\u003e Ransom.LockBit\r\nMicrosoft -\u003e Ransom:Win32/Lockbit.STA\r\nRising -\u003eRansom.LockBit!1.D854 (CLASSIC)\r\nSymantec -\u003e Ransom.Lockbit\r\nTrendMicro -\u003e Ransom.Win32.LOCKBIT.SMYEBGW\r\n26 октября 2021: \r\nНесколько цитат из этого интервью. \r\n- Безупречная репутация - мы единственные, кто никогда никого не обманывал и не менял наш бренд. Нам\r\nдоверяют. \r\n- Нас не волнует, раскроет ли компания информацию об атаке.\r\n- Иногда гораздо важнее украсть ценную информацию, за неразглашение которой компания готова платить\r\nбольше, чем за расшифровку.\r\n- Начать партнерскую программу легко, но держать ее открытой - это искусство.\r\n- Мы не атакуем больницы, было несколько случаев, когда филиалы по ошибке зашифровывали\r\nстоматологические кабинеты и дома престарелых. Ключи расшифровки были выданы бесплатно.\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 20 of 28\n\n- Встречи президентов ни на что не повлияют, все, кто серьезно работает, не живут в США или России.\r\nЛично я живу в Китае и чувствую себя в полной безопасности.\r\n- Ни один партнер не пойдет против нашей воли, потому что мы работаем только с проверенными людьми,\r\nу которых есть кодекс чести, каждый из наших партнеров несет ответственность за свои слова и действия. \r\n- Никто не застрахован от взлома инфраструктуры с помощью 0-days. Используя аппаратные бэкдоры\r\nАНБ, можно получить доступ к любому серверу на планете. Поэтому всегда присутствует риск быть\r\nвзломанным.\r\n- Наш путь труден и далек, мой биткойн стремится на восток. Покажите мне хотя бы одного китайца,\r\nкоторый будет слушать, что ему говорят США, и не принимать от нас криптовалюту при обмене на\r\nналичные доллары в Гонконге.\r\n- Нет компаний без денег, есть хитрые компании, которые не хотят тратить деньги на защиту своей сети,\r\nплатить зарплату хорошим системным администраторам, а потом и на выкуп. \r\n=== 2022 ===\r\nОбновление от 15 марта 2022:\r\nНовая версия: LockBit 3.0 (LockBit Black)\r\nДолжны быть исправлены ошибки шифрования в базах данных MSSQL, которое могло повредить файлы\r\nMSSQL.\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 21 of 28\n\nНовость от 27 июня 2022:\r\nДальнейшее развитие LockBit 3.0 (LockBit Black)\r\nВероятно, LockBit 3.0 основан на коде BlackMatter.\r\n➤ Ключи реестра: \r\nHKCR\\ .\u003cMalware Extension\u003e (Default) \u003cMalware Extension\u003e\r\nHKCR\\\u003cMalware Extension\u003e\\DefaultIcon (Default) C:\\ProgramData\\\u003cMalware Extension\u003e.ico\r\nHKCU\\Control Panel\\Desktop\\WallPaper (Default) C:\\ProgramData\\\u003cMal ware Extension\u003e.bmp\r\n➤ Расположение:\r\nADMIN$\\Temp\\\u003cLockBit3.0 Filename\u003e.exe\r\n%SystemRoot%\\Temp\\\u003cLockBit3.0 Filename\u003e.exe\r\n\\\u003cDomain Name\u003e\\sysvol\\\u003cDomain Name\u003e\\scripts\\\u003cLockbit 3.0 Filename\u003e.exe (Domain Controller)\r\nВарианты июля 2022:\r\nРезультаты анализа: VT + AR / VT + TG\r\nВариант от 25 сентября 2022 или раньше:\r\nСообщение: twitter.com/malwrhunterteam/status/1574260677597925376\r\nLockBit 3.0 builder: BL00DY RANSOMWARE GANG\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 22 of 28\n\n=== 2023 ===\r\nПодробная статья о LockBit от Jon DiMaggio - январь 2023:\r\nСсылка на статью: hxxxs://analyst1.com/ransomware-diaries-volume-1/\r\nНовость от 7 февраля 2023:\r\nLockBit заявила о кибератаке на британскую службу доставки почты Royal Mail и вынудила компанию\r\nприостановить свои международные службы доставки из-за \"серьезного сбоя в обслуживании\".\r\nОтчет от 16 марта 2023:\r\n=== 2024 ===\r\nНовость от 19 февраля 2024: \r\nПравоохранительные органы 10 стран в рамках совместной операции, известной как «Операция Кронос»\r\nсорвали вымогательство с использованием LockBit 3.0 Black Ransomware. Это помогло изъять 2500 ключей\r\nи создать бесплатный дешифровщик. \r\nНовость от 22 февраля 2024: \r\nРазработчики программы-вымогателя LockBit тайно создавали новую версию своего вредоносного ПО для\r\nшифрования файлов, получившего название LockBit-NG-Dev, которое могло стать LockBit 4.0, когда в\r\nначале этой недели правоохранительные органы уничтожили инфраструктуру киберпреступника.\r\nНовость от 5 июня 2024:\r\nФБР обнаружило 7000 ключей LockBit и призывает жертв LockBit 3.0 Ransomware связаться с ними. \r\nВарианты июня 2024: \r\nСвое название: PC Locker 3.0 by Mr.Robot\r\nВероятно на основе Lockbit 3.0 Black или модифицированный. \r\nРасширение (пример): .3R9qG8i3Z\r\nЗаписка (пример): 3R9qG8i3Z.README.txt\r\nTelegram: @mr_robot_unlock\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 23 of 28\n\n➤ Содержание записки: \r\n~~~ PC Locker 3.0 by Mr.Robot~~~\r\n\u003e\u003e\u003e\u003e Your data are stolen and encrypted\r\nTo get your files back you will have to pay a one-time fee of $45 in bitcoin or monero.\r\n\u003e\u003e\u003e\u003e You need contact us and decrypt one file for free on these platforms with your personal DECRYPTION ID\r\nContact the following account on telegram\r\n@mr_robot_unlock\r\nor paste this link in your browser\r\nhxxxs://t.me/mr_robot_unlock\r\n\u003e\u003e\u003e\u003e Your personal DECRYPTION ID: ***\r\n\u003e\u003e\u003e\u003e Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!\r\n\u003e\u003e\u003e\u003e Warning! If you do not pay the ransom you will not receive you files NO EXCEPTIONS!\r\n\u003e\u003e\u003e\u003e Warning! Any attempt to negotiate or you don't want to pay is INSTANT BLOCK!\r\n\u003e\u003e\u003e\u003e Advertisement\r\nWould you like to earn thousands of dollars $$$ ?\r\nWe sell mentorship for stealers, DDOS and ransomware.\r\nWe only work with professionals and people with money DO NOT WASTE OUR TIME.\r\nНовости июля 2024:\r\nВ суде США двое человек из группы, распространявшей LockBit Ransomware признали себя виновными.\r\nНовость от 20 декабря 2024:\r\nАрестован и обвинен в содействии распространению LockBit Ransomware еще один россиянин-израильтянин, укрывавшийся в Израиле. \r\nВариант от 20 декабря 2024: \r\nСамоназвание: LockBit 4.0 Ransomware\r\nСообщение:  x.com/fbgwls245/status/1870365719633985663\r\nСообщение: x.com/JAMESWT_MHT/status/1870368458128417254\r\nРасширение: .\u003crandom\u003e\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 24 of 28\n\nЗаписка: Restore-My-Files.txt\r\nОбразец 32bit: C5CC3C5CEF6B382568A54F579B2965FF\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.41387\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OSE\r\nMalwarebytes -\u003e Ransom.LockBit\r\nMicrosoft -\u003e Ransom:Win32/LockBit\r\nTrendMicro -\u003e Ransom.Win32.LOCKBIT.YXFCXZ\r\n---\r\nОбразец 64bit: 8FF61E4156C10B085E0C2233F24E8501\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.MulDrop28.53639\r\nESET-NOD32 -\u003e Win64/Filecoder.Lockbit.C\r\nMalwarebytes -\u003e Ransom.LockBit\r\nMicrosoft -\u003e Ransom:Win64/LockBit.M\r\nTrendMicro -\u003e Ransom.Win64.LOCKBIT.YXFAITTT\r\n=== 2025 ===\r\nВариант от 14 сентября 2025: \r\nLockBit 5.0 Ransomware Windows version \r\nРасширение: .[a-z0-9]{16}\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 25 of 28\n\nЗаписка: ReadMeForDecrypt.txt\r\nMD5: 95daa771a28eaed76eb01e1e8f403f7c \r\nSHA-1: cdd5717fd3bfd375c1c34237c24073e92ad6dccc \r\nSHA-256: 7ea5afbc166c4e23498aa9747be81ceaf8dad90b8daa07a6e4644dc7c2277b82 \r\nVhash: 075056657d15151\"z\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.43303\r\nBitDefender -\u003e Application.Generic.4156615\r\nESET-NOD32 -\u003e Win64/Injector.ADW Trojan\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Win32.Lockbit.pef\r\nMalwarebytes -\u003e Malware.AI.3399155910\r\nMicrosoft -\u003e Ransom:Win64/LockBit.MZZ!MTB\r\nTencent -\u003e Malware.Win32.Gencirc.10c3f20b\r\nTrendMicro -\u003e Ransom.Win64.LOCKBIT.YXFIOZ\r\n---\r\nВариант от 20 сентября 2025: \r\nLockBit 5.0 Ransomware Linux version \r\nMD5: ca93d47bcc55e2e1bd4a679afc8e2e25 \r\nSHA-1: 41e1e094c19fffde494c24ef4cab0d7577d5a025 \r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 26 of 28\n\nSHA-256: 4dc06ecee904b9165fa699b026045c1b6408cc7061df3d2a7bc2b7b4f0879f4d \r\nVhash: 05495cf416374fc4db17277993080d5d\r\nОбнаружения: \r\nBitDefender -\u003e Trojan.Linux.Ransom.38926740\r\nDrWeb -\u003e Linux.Encoder.617\r\nESET-NOD32 -\u003e Linux/Filecoder.Lockbit.H Trojan\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Linux.Lockbit.five\r\nMicrosoft -\u003e Ransom:Linux/LockBit.G!MTB\r\nRising -\u003e Ransom.Lockbit/Linux!8.1993E (CLOUD)\r\nTencent -\u003e Malware.Linux.Generic.1c03f032\r\nTrendMicro -\u003e Ransom.Linux.LOCKBIT.THIBCBD\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter: myTweet\r\n ID Ransomware (1st ID as ABCD, 2nd ID as LockBit, Lock2Bits)\r\n ID Ransomware (new ID: LockBit 3.0, Lockbit 4.0)\r\n Write-up, Topic of Support\r\n *\r\nAdder later:\r\nDescription of LockBit by Albert Zsigovits (on April 7, 2020)\r\nWrite-up by Albert Zsigovits from Sophos (on April 24, 2020)\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 27 of 28\n\nWrite-up by TrendMicro (on February 8, 2022)\r\nReverse Engineering by ChuongDong (on March 19, 2022)\r\nВнимание!\r\nВ некоторых случаях файлы можно дешифровать!\r\nРекомендую обратиться по этой ссылке к Demonslay335 \u003e\u003e\r\nДешифровщик для некоторых вариантов Lockbit 3.0 Ransomware\r\nпо ссылке на сайте NoMoreRansom \u003e\u003e\r\n Thanks:\r\n Andrew Ivanov (author)\r\n Michael Gillespie, Vitali Kremez, Albert Zsigovits, Bitshadow\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/search?q=lockbit\r\nhttps://id-ransomware.blogspot.com/search?q=lockbit\r\nPage 28 of 28", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://id-ransomware.blogspot.com/search?q=lockbit" ], "report_names": [ "search?q=lockbit" ], "threat_actors": [ { "id": "e9f85280-337c-4321-b872-0919f8ef64a6", "created_at": "2022-10-25T16:07:24.261761Z", "updated_at": "2026-04-10T02:00:04.914455Z", "deleted_at": null, "main_name": "TA2101", "aliases": [ "Gold Village", "Maze Team", "TA2101", "Twisted Spider" ], "source_name": "ETDA:TA2101", "tools": [ "7-Zip", "Agentemis", "BokBot", "Buran", "ChaCha", "Cobalt Strike", "CobaltStrike", "Egregor", "IceID", "IcedID", "Mimikatz", "PsExec", "SharpHound", "VegaLocker", "WinSCP", "cobeacon", "nmap" ], "source_id": "ETDA", "reports": null }, { "id": "c3c864b3-fac9-4d56-8500-7c06c829fbf8", "created_at": "2023-01-06T13:46:39.071873Z", "updated_at": "2026-04-10T02:00:03.203749Z", "deleted_at": null, "main_name": "TA2101", "aliases": [ "GOLD VILLAGE", "Storm-0216", "DEV-0216", "UNC2198", "TUNNEL SPIDER", "Maze Team", "TWISTED SPIDER" ], "source_name": "MISPGALAXY:TA2101", "tools": [], "source_id": "MISPGALAXY", "reports": null } ], "ts_created_at": 1775434570, "ts_updated_at": 1775826746, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/094729ec7467138756bf785dd4de742f187f694a.pdf", "text": "https://archive.orkl.eu/094729ec7467138756bf785dd4de742f187f694a.txt", "img": "https://archive.orkl.eu/094729ec7467138756bf785dd4de742f187f694a.jpg" } }