{
	"id": "dd1b7b45-b66e-4915-ae78-f1d9ed846191",
	"created_at": "2026-04-06T00:15:14.196343Z",
	"updated_at": "2026-04-10T13:11:31.543795Z",
	"deleted_at": null,
	"sha1_hash": "21c62dbd4ac442cd1921faecb157b51902253cfe",
	"title": "Teslarvng, Yakuza",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 466733,
	"plain_text": "Teslarvng, Yakuza\r\nArchived: 2026-04-05 20:05:18 UTC\r\nTeslaRVNG Ransomware\r\nTesla Revenge Ransomware\r\nTeslaRVNG2 Ransomware\r\nAliases: Teslarvng, Yakuza\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в #\r\nBTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано:\r\ndefrag.exe. Использует библиотеку Crypto++. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Inject3.36148, Trojan.MulDrop11.51585\r\nBitDefender -\u003e Gen:Variant.Ransom.Ouroboros.29\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OBE, A Variant Of Win32/Filecoder.Teslarvng.A\r\nMalwarebytes -\u003e Ransom.Teslarvng\r\nSymantec -\u003e Trojan.Gen.2, Trojan Horse, Ransom.Teslarvng, Ransom.Teslarvng!g1\r\nTrendMicro -\u003e\r\nTROJ_GEN.R002C0PCF20, Trojan.Win32.MALREP.THCBCBO, Ransom.Win32.OUROBOROS.SMA\r\n---\r\n© Генеалогия: Ouroboros? \u003e\u003e Teslarvng (Yakuza) \u003e Secles\r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 1 of 11\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляются расширения: \r\n.teslarvng\r\n.yakuza\r\nФактически используется составное расширение: \r\n.[de-crypt@foxmail.com].teslarvng\r\n.[de-crypt@foxmail.com].yakuza Внимание! Новые расширения, email и тексты о выкупе можно\r\nнайти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало-середину марта 2020 г. Штамп даты: 9 марта\r\n2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: How To Recover.txt\r\nСодержание записки о выкупе:\r\n[+] What's happened ? [+]\r\nall your files have been encrypted(locked) by us \r\n[+] what should i do [+]\r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 2 of 11\n\nkeep calm and message us \r\n[+] do you guarantee recovery of my files?[+]\r\nit's our job, we can decrypt like we did encrypt and we'll prove that \r\n(unfortunately it's not free, and have to pay a small amount for it )\r\nyou'll receive decryption program witch makes your files and system just like they were \r\n[+] well then how should i contact you [+]\r\nemail : de-crypt@foxmail.com\r\nemail2 : helptounlock@protonmail.com\r\njust mail us with you teslarvngID file in attachment (the file on all you folders besdie this file )\r\nyou should receive answer in 24h max \r\n[+] how can i trust you[+]\r\nyou get what you pay for, this is our business and we have customer satisfaction rates witch affects later customers\r\ndecision \r\nwe decrypt one file for free for ensuring recoverability of your files \r\nyou'll sure do recover your files after payment because \r\nif we don't our repopulation will go bad and others won't make payment. sure we don't want that \r\n[+]should i try third party tools[+]\r\nwe use very strong military-grade encryption method\r\nyou're free to try but none can work without our privatekeys,\r\nmake sure to make a backup of encrypted files before trying tools because they can corrupt your files and make\r\nthem undecryptable \r\nПеревод записки на русский язык:\r\n[+] Что случилось? [+]\r\nвсе ваши файлы зашифрованы (заблокированы) нами\r\n[+] что мне делать [+]\r\nсохраняй спокойствие и сообщай нам\r\n[+] вы гарантируете восстановление моих файлов? [+]\r\nэто наша работа, мы можем расшифровать, как мы это зашифровали, и мы докажем это\r\n(к сожалению, это не бесплатно, и за это нужно заплатить небольшую сумму)\r\nвы получите программу расшифровки, которая сделает ваши файлы и систему такими же, как они\r\n[+] ну тогда как мне с тобой связаться [+]\r\nemail: de-crypt@foxmail.com\r\nemail2: helptounlock@protonmail.com\r\nпросто напишите нам с вашим файлом teslarvngID во вложении (файл во всех ваших папках, кроме этого\r\nфайла)\r\nВы должны получить ответ в течение 24 часов максимум\r\n[+] как я могу тебе доверять [+]\r\nВы получаете то, за что платите, это наш бизнес, и уровень удовлетворенности клиентов влияет на\r\nрешение будущих клиентов\r\nмы расшифровываем один файл бесплатно для обеспечения возможности восстановления ваших файлов\r\nвы обязательно восстановите свои файлы после оплаты, потому что\r\nесли мы этого не сделаем, наша репутация пострадает, а другие не будут платить. конечно, мы этого не\r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 3 of 11\n\nхотим\r\n[+] я должен попробовать сторонние инструменты [+]\r\nмы используем очень сильный метод шифрования военного уровня\r\nВы можете попробовать, но никто не может работать без наших частных ключей,\r\nубедитесь, что сделали резервную копию зашифрованных файлов, попыткой использовать инструменты,\r\nпотому что они могут повредить ваши файлы и сделать их недопустимыми\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Удаляет теневые копии файлов. Добавляет в меню пуск файл defrag.exe\r\nИспользует утилиту sdelete.exe. \r\n➤ Оба варианта с расширения .teslarvng и .yakuza используются один и тот же файл записки (How To\r\nRecover.txt) и метку файлов: \"93 9F 7B A9\"\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 4 of 11\n\nHow To Recover.txt - название файла с требованием выкупа\r\ndefrag.exe\r\ntempkey.teslarvngkeys\r\nteslarvngID\r\nconsoleoutput2287.txt\r\nwbadmin.0.etl\r\npos.txt\r\nfails.txt\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\admin\\AppData\\Local\\Temp\\consoleoutput2287.txt\r\nC:\\teslarvng\\tempkey.teslarvngkeys\r\nC:\\teslarvng\\How To Recover.txt\r\n%PROGRAMDATA%\\datakeys\\tempkey.teslarvngkeys\r\n%PROGRAMDATA%\\datakeys\\pos.txt\r\n%WINDIR%\\logs\\windowsbackup\\wbadmin.0.etl\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: de-crypt@foxmail.com, helptounlock@protonmail.com\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 5 of 11\n\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 22 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: отсутствует\r\nЗаписка: How To Recover.txt\r\nEmail: helper571@protonmail.com, rdp571@protonmail.ch\r\nРезультаты анализов: VT + AR + VMR + IA\r\n \r\nОбновления июня:\r\nEmail: Black.Berserks@yakuzacrypt.com, Black.Berserks@protonmail.com\r\nEmail:ScorpionEncryption@yakuzacrypt.com, ScorpionEncryption@Protonmail.com \r\nОбновление от 1 июля 2020:\r\nПост в Твиттере \u003e\u003e\r\nЗаписка: teslarvng.hta\r\nEmail: maedeh81@yakuzacrypt.com, maedeh81@firemail.cc\r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 6 of 11\n\nОбновление июля:\r\nEmail: newbang@protonmail.com, newbang@cock.li\r\nОбновление августа:\r\nEmail: Founder94@yakuzacrypt.com, Founder94@tutanota.com\r\nОбновление сентября 2020: \r\nEmail: alfryy@yakuzacrypt.com, alfryy@cock.li\r\nВариант от 31 декабря 2020: \r\nРасширение: .teslarvng1.5\r\nEmail: aes256@criptexst.com, thetaprogram@keemail.me\r\nVT: 960C10FF27C9BB488DAA2DC405E04967\r\nВариант от 1 апреля 2021:\r\nСамоназвание: Tesla Revenge Ransomware, TeslaRVNG1.5\r\nРасширение: .teslarvng2 \r\nРезультаты анализов: VT + IA\r\nВариант от 8 мая 2021:\r\nРасширение: .teslarvng2\r\nШаблон зашифрованного файла: id[GENERATED_ID].[tesladecryption@cyberfear.com].Filename.teslarvng2\r\nПример зашифрованного файла: id[EiAIBPSt].[tesladecryption@cyberfear.com].Media.xlss.teslarvng2\r\nЗаписка: teslarvng2.hta\r\nEmail: tesladecryption@cyberfear.com, tesladecryption@cock.li\r\n \r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 7 of 11\n\nВариант от 24 мая 2021:\r\nРасширение: .teslarvng2\r\nШаблон зашифрованного файла: id[GENERATED_ID].\r\n[angelmorales0123@mailfence.com].Filename.teslarvng2\r\nЗаписка: teslarvng2.hta\r\nEmail: angelmorales0123@mailfence.com\r\nРезультаты анализов: VT + TG + JSB\r\nСистема может перезагрузиться. \r\nВариант от 8 сентября 2021:\r\nРасширение: .liquid\r\nПример зашифрованного файла: id[xGCg1FQ4].[unknownteam@criptext.com].document.doc.liquid\r\nEmail: unknwonteam@criptext.com, fixbyfinch@tutanota.com\r\nРезультаты анализов: VT\r\nВариант от 13 ноября 2021:\r\nРасширение: .teslarvng3\r\nРезультаты анализов: VT + IA\r\n=== 2022 ===\r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 8 of 11\n\nВариант от 14 марта 2022: \r\nРасширение: .Ranger3X\r\nПример зашифрованного файла: id[MxbXXXXX].[solution@mailfence.com].License.txt.Ranger3X\r\nЗаписка: DecryptFiles.txt\r\nEmail: solution@mailfence.com, Filedecryptor@cock.li, yoursolution@tutanota.com\r\nРезультаты анализов: VT + IA\r\nВариант от 3 мая 2022: \r\nРасширение: .selena\r\nПример зашифрованного файла: id[NCq9Ipot].[Selena@onionmail.org].13.01.22.jpg.selena\r\nЗаписка: selena.txt\r\nEmail: Selena@onionmail.org, Selena@cyberfear.com\r\nРезультаты анализов: VT + IA\r\nВариант от 26 мая или раньше: \r\nРасширение: .StrongX\r\nПример зашифрованного файла: id[6ZNpEtv9].[bleepbloopbop@criptext.com].logoff1.bat.StrongX\r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 9 of 11\n\nЗаписка: ReadMe.txt\r\nEmail: bleepbloopbop@criptext.com, bleepbloopbop@protonmail.com\r\nВариант от 13 июня 2022: \r\nДоп. название: Sheeva Ransomware\r\nРасширение: .sheeva\r\nПример зашифрованного файла: id[XXXXXXXX].[Sheeva@onionmail.org].document.doc.sheeva\r\nЗаписка: sheeva.txt\r\nEmail: Sheeva@onionmail.org\r\nРезультаты анализа: VT + IA\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Siggen18.4363\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Teslarvng_A\r\nMalwarebytes -\u003e Generic.Trojan.Malicious.DDS\r\nMicrosoft -\u003e Trojan:Win32/Casdet!rfn\r\nTrendMicro -\u003e Ransom.Win32.TSLREVENGER.THFAEBB\r\n=== 2023 ===\r\nВариант октября 2023:\r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 10 of 11\n\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + myMessage\r\n ID Ransomware (ID as Teslarvng)\r\n Write-up, Topic of Support\r\n Github samples \u003e\u003e\r\n Thanks:\r\n Raby, AkhmedTaia, Michael Gillespie, Bart\r\n Andrew Ivanov (author)\r\n rivitna\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html\r\nPage 11 of 11\n\nDrWeb -\u003e BitDefender Trojan.Inject3.36148, -\u003e Gen:Variant.Ransom.Ouroboros.29 Trojan.MulDrop11.51585 \nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OBE, A Variant Of Win32/Filecoder.Teslarvng.A\nMalwarebytes -\u003e Ransom.Teslarvng  \nSymantec -\u003e Trojan.Gen.2, Trojan Horse, Ransom.Teslarvng, Ransom.Teslarvng!g1\nTrendMicro -\u003e  \nTROJ_GEN.R002C0PCF20,  Trojan.Win32.MALREP.THCBCBO, Ransom.Win32.OUROBOROS.SMA\n---   \n© Генеалогия: Ouroboros? \u003e\u003e Teslarvng (Yakuza) \u003e Secles\n   Page 1 of 11",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/03/teslarvng-ransomware.html"
	],
	"report_names": [
		"teslarvng-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434514,
	"ts_updated_at": 1775826691,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/21c62dbd4ac442cd1921faecb157b51902253cfe.pdf",
		"text": "https://archive.orkl.eu/21c62dbd4ac442cd1921faecb157b51902253cfe.txt",
		"img": "https://archive.orkl.eu/21c62dbd4ac442cd1921faecb157b51902253cfe.jpg"
	}
}