{
	"id": "ec33937c-5e75-481c-9df1-82f1d5c704d7",
	"created_at": "2026-04-06T00:06:14.618495Z",
	"updated_at": "2026-04-10T03:21:49.598668Z",
	"deleted_at": null,
	"sha1_hash": "162f50e73084b9a70df4317f8f23583a6e795c41",
	"title": "GoCryptoLocker",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 347510,
	"plain_text": "GoCryptoLocker\r\nArchived: 2026-04-05 23:15:14 UTC\r\nGoCryptoLocker Ransomware\r\nCryptoGoLocker Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем выводит\r\nсообщение без требований выкупа. Оригинальное название: goCryptoLocker, CryptoGoLocker, goEncoder.\r\nНа файле написано: cryptoLocker.exe, main.exe\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31675\r\nBitDefender -\u003e Trojan.GenericKD.33730417\r\nALYac -\u003e Trojan.Ransom.Filecoder\r\nAvira (no cloud) -\u003e TR/FileCoder.vgssx\r\nESET-NOD32 -\u003e A Variant Of Win64/Filecoder.BK\r\nMalwarebytes -\u003e Malware.AI.4192834743\r\nMicrosoft -\u003e Ransom:Win32/Genasom\r\nRising -\u003e Ransom.Genasom!8.293 (CLOUD)\r\nSymantec -\u003e Trojan.Gen.2\r\nTrendMicro -\u003e Ransom_Agent.R002C0WJ121\r\n---\r\n© Генеалогия: Go-вымогатели \u003e\u003e GoCryptoLocker\r\nhttps://id-ransomware.blogspot.com/2020/04/gocryptolocker-ransomware.html\r\nPage 1 of 8\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .GEnc\r\nGEnc - значит GoEncoder, т.к. в диалоговом окне используется название goEncoder. Внимание!\r\nНовые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть\r\nразличия с первоначальным вариантом. \r\nОбразец этого крипто-вымогателя был найден во второй половине апреля 2020 г. Но был выложен на\r\ngithub.com примерно на 1-2 месяца раньше. Ориентирован на англоязычных пользователей, что не мешает\r\nраспространять его по всему миру.\r\nЗапиской с требованием выкупа выступает экран блокировки: \r\nСодержание записки о выкупе:\r\nHello, you files has been encrypted\r\nEnter password: _\r\nПеревод записки на русский язык:\r\nПривет, твои файлы зашифрованы\r\nВведи пароль: _\r\nhttps://id-ransomware.blogspot.com/2020/04/gocryptolocker-ransomware.html\r\nPage 2 of 8\n\nТехнические детали\r\nПосле доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP,\r\nс помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной\r\nрекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также\r\n\"Основные способы распространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.lnk, .png, .jpg, .jpeg, .bmp, .txt, .doc, .docx, .pdf, .xls, .xlsx, .ppt, .pttx\r\nЭто документы MS Office, PDF, текстовые файлы, картинки и фотографии, ярлыки программ.\r\nФайлы, связанные с этим Ransomware:\r\ncryptoLocker.exe\r\nmain.exe\r\ndecryptor.bat\r\nCryptoLocker.bat\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\n\\goCryptoLocker\\cryptoLocker.exe\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\CryptoLocker.bat\r\n%USERPROFILE%\\Desktop\\decryptor.bat\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nhttps://id-ransomware.blogspot.com/2020/04/gocryptolocker-ransomware.html\r\nPage 3 of 8\n\nСетевые подключения и связи:\r\nEmail:\r\nBTC:\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 10 сентября 2020:\r\nРасширение: .GEnc\r\nДобавляется в Автозагрузку: C:\\Users\\User\\AppData\\Roaming\\Microsoft\\Windows\\Start\r\nMenu\\Programs\\Startup\\CryptoLocker.bat\r\nФайлы: main.exe, decryptor.bat, CryptoLocker.bat\r\nhttps://id-ransomware.blogspot.com/2020/04/gocryptolocker-ransomware.html\r\nPage 4 of 8\n\nРезультаты анализов: VT + IA + IA + AR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.32589\r\nBitDefender -\u003e Trojan.GenericKD.43811587\r\nESET-NOD32 -\u003e A Variant Of Win64/Filecoder.BK\r\nMalwarebytes -\u003e Ransom.GoCryptoLocker\r\nTrendMicro -\u003e Ransom_Encoder.R002C0WID20\r\n=== 2022 ===\r\nНовый вариант, который называют HermeticWiper.\r\nИспользует легитимное По EaseUS Partition Master, чтобы повредить разделы. \r\nСообщение \u003e\u003e \r\nЗаписка: read_me.html\r\nEmail: vote2024forjb@protonmail.com, stephanie.jones2024@protonmail.com\r\nРезультаты анализов-1: VT + TG  \r\n➤ Обнаружения-1: \r\nDrWeb -\u003e Trojan.Encoder.35007\r\nBitDefender -\u003e Trojan.GenericKD.39061147\r\nhttps://id-ransomware.blogspot.com/2020/04/gocryptolocker-ransomware.html\r\nPage 5 of 8\n\nESET-NOD32 -\u003e WinGo/Filecoder.BK\r\nKaspersky -\u003e Trojan-Ransom.Win64.Agent.dog\r\nKingsoft -\u003e Win32.PSWTroj.Undef.(kcloud)\r\nLionic -\u003e Trojan.Win32.Stealer.i!c\r\nMalwarebytes -\u003e Spyware.PasswordStealer\r\nMicrosoft -\u003e Ransom:Win32/SonicVote.A!dha\r\nRising -\u003e Ransom.Agent!1.DC21 (CLOUD)\r\nSymantec -\u003e Trojan Horse\r\nTencent -\u003e Win32.Trojan.Agent.Gykz\r\nTrendMicro -\u003e Ransom.Win64.GOFILECODER.THBBDBB\r\n---\r\nРезультаты анализов-2: VT + IA\r\n➤ Обнаружения-2: \r\nBitDefender -\u003e Trojan.GenericKD.39059716\r\nDrWeb -\u003e Trojan.KillDisk.14086\r\nESET-NOD32 -\u003e A Variant Of Win32/KillDisk.NCV\r\nKaspersky -\u003e HEUR:Trojan.Win32.HermeticWiper.gen\r\nLionic -\u003e Trojan.Win32.HermeticWiper.4!c\r\nMalwarebytes -\u003e Trojan.KillDisk\r\nMicrosoft -\u003e DoS:Win32/FoxBlade.A!dha\r\nPanda -\u003e Trj/HermeticWiper.A\r\nRising -\u003e Trojan.HermeticWiper!1.DC1D (CLOUD)\r\nSophos -\u003e Mal/KillDisk-A\r\nSymantec -\u003e Trojan.KillDisk\r\nTrendMicro -\u003e Trojan.Win32.KILLDISK.SMYECBW\r\nhttps://id-ransomware.blogspot.com/2020/04/gocryptolocker-ransomware.html\r\nPage 6 of 8\n\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as GoCryptoLocker)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n GrujaRS, Michael Gillespie\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\nhttps://id-ransomware.blogspot.com/2020/04/gocryptolocker-ransomware.html\r\nPage 7 of 8\n\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/04/gocryptolocker-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/04/gocryptolocker-ransomware.html\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/04/gocryptolocker-ransomware.html"
	],
	"report_names": [
		"gocryptolocker-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775433974,
	"ts_updated_at": 1775791309,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/162f50e73084b9a70df4317f8f23583a6e795c41.pdf",
		"text": "https://archive.orkl.eu/162f50e73084b9a70df4317f8f23583a6e795c41.txt",
		"img": "https://archive.orkl.eu/162f50e73084b9a70df4317f8f23583a6e795c41.jpg"
	}
}