{
	"id": "037081b2-9e79-432d-ad19-800de19ce9e5",
	"created_at": "2026-04-06T00:12:58.412477Z",
	"updated_at": "2026-04-10T13:11:32.730336Z",
	"deleted_at": null,
	"sha1_hash": "0db2a044f7cdbb9c3165500acae3611ebc844f0a",
	"title": "InfoDot",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 254645,
	"plain_text": "InfoDot\r\nArchived: 2026-04-05 19:51:56 UTC\r\nInfoDot Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей с помощью алгоритмов AES-256 (режим\r\nCBC) и RSA-2048, а затем требует выкуп в 4 BTC, чтобы вернуть файлы. Оригинальное название: в\r\nзаписке не указано. На файле написано: bigdata.exe\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.29861\r\nBitDefender -\u003e Trojan.GenericKD.31831899\r\nESET-NOD32 -\u003e A Variant Of Generik.BNRBGWT\r\nKaspersky -\u003e Trojan-Ransom.Win32.Crypren.afgd\r\n© Генеалогия: MorrisBatchCrypt \u003e InfoDot \r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляются расширения: \r\n.info@sharebyy[dot]com\r\n.info@mymail9[dot]com Внимание! Новые расширения, email и тексты о выкупе можно найти в\r\nконце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. \r\nhttps://id-ransomware.blogspot.com/2019/10/infodot-ransomware.html\r\nPage 1 of 5\n\nАктивность этого крипто-вымогателя пришлась на вторую половину октября 2019 г. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: help_to_decrypt.html\r\nСодержание записки о выкупе:\r\nYour files encrypted with aes and rsa\r\nContact to this email to get decryption software: info@sharebyy.com\r\nYou can decrypt 3 files before pay any amount, Send your encrypted files to above email\r\nPay 4 Bitcoins to this bitcoin wallet : 1PNvoH3U7qp28dZPRng3ufkA5YHjQjTYZZ to get decryption software \r\nПеревод записки на русский язык:\r\nВаши файлы зашифрованы с AES и RSA\r\nПишите на этот email, чтобы получить программ расшифровки: info@sharebyy.com\r\nВы можете расшифровать 3 файла, прежде оплаты любой суммы. Отправьте ваши зашифрованные файлы\r\nна email выше.\r\nЗаплатите 4 биткойна на этот биткойн-кошелек: 1PNvoH3U7qp28dZPRng3ufkA5YHjQjTYZZ, чтобы\r\nполучить программe расшифровки\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Использует библиотеку OpenSSL для шифрования и дешифрования файлов. \r\nhttps://id-ransomware.blogspot.com/2019/10/infodot-ransomware.html\r\nPage 2 of 5\n\n➤ После уплаты выкупа пострадавший получает файлы в формате\r\nOriginal_filename.bin.info@sharebyy[dot]com с инструкциями по расшифровке, которые не позволяют\r\nрасшифровать файлы или содержат ошибку в наборе команд.\r\n➤ Использует taskkill.exe для завершения процессов:\r\nC:\\Windows\\system32\\cmd.exe /c taskkill /IM sql* /f\r\nПодробности о шифровании:\r\nОн использует OpenSSL для шифрования файлов с помощью AES-256 (CBC PKCS#7 padding) и\r\nгенерирует защищенные ключи для каждого файла (CryptGenRandom), зашифрованные RSA-2048.\r\nВ первом варианте, который мы увидели использовался маркер SALTED__, во втором его уже не было. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nМногие популярные форматы. \r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nhelp_to_decrypt.html\r\nbigdata.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nНазвание проекта из ресурсов:\r\nhttps://id-ransomware.blogspot.com/2019/10/infodot-ransomware.html\r\nPage 3 of 5\n\nC:\\Users\\alara\\documents\\visual studio 2013\\Projects\\enc\\Release\\enc.pdb\r\nСетевые подключения и связи:\r\nEmail-1: info@sharebyy.com\r\nEmail-2: info@mymail9.com\r\nBTC: 1PNvoH3U7qp28dZPRng3ufkA5YHjQjTYZZ \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e  JOE\u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 14 октября 2021:\r\nРасширение: .info@tromva[dot]com\r\nВ зашифрованных файлах используется маркер Salted__\r\nЗаписка: help to decrypt.html\r\nEmail: info@tromva.com\r\nhttps://id-ransomware.blogspot.com/2019/10/infodot-ransomware.html\r\nPage 4 of 5\n\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as InfoDot)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n Michael Gillespie, Andrew Ivanov (author)\r\n ***\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2019/10/infodot-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2019/10/infodot-ransomware.html\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2019/10/infodot-ransomware.html"
	],
	"report_names": [
		"infodot-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434378,
	"ts_updated_at": 1775826692,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/0db2a044f7cdbb9c3165500acae3611ebc844f0a.pdf",
		"text": "https://archive.orkl.eu/0db2a044f7cdbb9c3165500acae3611ebc844f0a.txt",
		"img": "https://archive.orkl.eu/0db2a044f7cdbb9c3165500acae3611ebc844f0a.jpg"
	}
}