{
	"id": "5c0de42b-8571-4047-8877-0ec6726346a2",
	"created_at": "2026-04-06T00:06:51.992641Z",
	"updated_at": "2026-04-10T03:20:44.891897Z",
	"deleted_at": null,
	"sha1_hash": "26283ade05e4e65eac2024cd56408794da83038f",
	"title": "ChinaJm",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 248602,
	"plain_text": "ChinaJm\r\nArchived: 2026-04-05 16:17:46 UTC\r\nChinaJm Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email\r\nвымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На\r\nфайле написано: 简易抽奖小程序-SIGN.exe\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.30799\r\nBitDefender -\u003e Gen:Variant.Mikey.110458\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OAW\r\nMalwarebytes -\u003e ***\r\nRising -\u003e Trojan.Zudochka!8.106DC (CLOUD)\r\nSymantec -\u003e Downloader\r\nTrendMicro -\u003e TROJ_GEN.R002C0PG320\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: Barack Obama's EBBV и другие \u003e\u003e ChinaJm \u003e Pojie\r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .China\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там\r\nмогут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на конец февраля - начало марта 2020 г. Ориентирован на\r\nкитайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: ÁªÏµÎÒ,ÇëÎðɾ³ý1582689454562.txt\r\nhttps://id-ransomware.blogspot.com/2020/02/chinajm-ransomware.html\r\nPage 1 of 3\n\nСодержание записки о выкупе:\r\nYour machine code:\r\nAai8auL4YV8EP6TSaTIueXnXCPnr7zzMSFZXhslpcFu5fqlJhEtTrbILBFGUvqrFYpt/9wjgYpLO75paEEThTT8lWUqKgnKHy7tfU2P9NPVvSHsOJIEtX\r\nYou need to send an email to china_jm@protonmail.ch to get the secret key\r\nRestore your file usage\r\nПеревод записки на русский язык:\r\nКод вашей машины:\r\nAai8auL4YV8EP6TSaTIueXnXCPnr7zzMSFZXhslpcFu5fqlJhEtTrbILBFGUvqrFYpt/9wjgYpLO75paEEThTT8lWUqKgnKHy7tfU2P9NPVvSHsOJIEtX\r\nВам нужно отправить email на адрес china_jm@protonmail.ch, чтобы получить секретный ключ\r\nВернуть использование вашего файла\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и\r\nвредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы\r\nделайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ По данным сервиса IntezerAnalyze содержит код майнера криптовалюты CoinMiner, значит шифровальщик может\r\nбыть прикрытием установки майнера. \r\n➤ Использует чужие электронные подписи для исполняемого файла. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы\r\nобразов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\n简易抽奖小程序-SIGN.exe\r\nÁªÏµÎÒ,ÇëÎðɾ³ý1582689454562.txt - название файла с требованием выкупа\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\User\\AppData\\Local\\Temp\\简易抽奖小程序-SIGN.exe\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: china_jm@protonmail.ch\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов: 🔻 Triage analysis \u003e\u003e\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/02/chinajm-ransomware.html\r\nPage 2 of 3\n\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nЕщё не было обновлений этого варианта.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as ChinaJm)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n dnwls0719, Michael Gillespie\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/02/chinajm-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/02/chinajm-ransomware.html\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/02/chinajm-ransomware.html"
	],
	"report_names": [
		"chinajm-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434011,
	"ts_updated_at": 1775791244,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/26283ade05e4e65eac2024cd56408794da83038f.pdf",
		"text": "https://archive.orkl.eu/26283ade05e4e65eac2024cd56408794da83038f.txt",
		"img": "https://archive.orkl.eu/26283ade05e4e65eac2024cd56408794da83038f.jpg"
	}
}