{
	"id": "25910707-07fe-49b0-8b62-ecb8235028e8",
	"created_at": "2026-04-06T00:19:14.780804Z",
	"updated_at": "2026-04-10T13:12:41.454702Z",
	"deleted_at": null,
	"sha1_hash": "30d2ab9a5ec022f2c559dd2b089ecd1d6c44205d",
	"title": "Ako, MedusaReborn",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 612624,
	"plain_text": "Ako, MedusaReborn\r\nArchived: 2026-04-05 16:12:10 UTC\r\nAko Ransomware\r\nAko Doxware\r\nAliases: MedusaReborn\r\n(шифровальщик-вымогатель, RaaS, публикатор) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные компьютеров в локальной сети, работающих под управлением\r\nWindows (в том числе Windows 10), с помощью AES, а затем требует выкуп в 0.5-1 BTC, чтобы вернуть\r\nфайлы. Оригинальное название: в записке не указано. На файле написано: нет данных. \r\nНачиная с мая 2020 года вымогатели, стоящие за Ako Ransomware стали \r\nпубликовать на специальном сайте украденные данные с целью усиления давления на жертву (отсюда\r\nдополнительные названия — публикатор и Doxware). Для этого операторы-вымогатели начинают кражу\r\nданных ещё перед шифрованием файлов. В некоторых случаях стали даже требовать дополнительной\r\nплаты за то, чтобы удалить украденные данные. \r\nОбнаружения:\r\nDrWeb -\u003e Trojan.MulDrop11.33124\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e Win32/Filecoder.MedusaLocker.D\r\nMicrosoft -\u003e Ransom:Win32/MedusaLocker!MTB\r\nRising -\u003e Ransom.AKO!1.C19E (CLOUD)\r\n---\r\n© Генеалогия: ✂️ MedusaLocker \u003e\u003e Ako, MedusaReborn ⇒ ThunderX \u003e Ranzy Locker \r\nЗнак \"⇒\" здесь означает переход на другую разработку. См. \"Генеалогия\".\r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 1 of 14\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .\u003crandom\u003e или .\u003crandom{6}\u003e Внимание!\r\nНовые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть\r\nразличия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру. На момент написания статьи\r\nраспространялась версия 0.5. \r\nЗаписка с требованием выкупа называется: ako-readme.txt\r\nСодержание записки о выкупе:\r\nYour network have been locked.\r\nAll your files, documents, photos, databases and other important data are encrypted and have the extension:\r\n.2Zrl5j\r\nBackups and shadow copies also encrypted or removed. Any third-party software may damage encrypted data but\r\nnot recover.\r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 2 of 14\n\nFrom this moment, it will be impossible to use files until they are decrypted.\r\nThe only method of recovering files is to purchase an unique private key.\r\nOnly we can give you this key and only we can recovery your files.\r\nTo get info (decrypt your files) follow this steps:\r\n1) Download and install Tor Browser: https://www.torproject.org/download/\r\n2) Open our website in TOR:\r\nxxxx://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB\r\n3) Paste your ID in form (you can find your ID below)\r\n!! ATTENTION !!\r\n!! Any third - party software may damage encrypted data but not recover.\r\n!! DO NOT MODIFY ENCRYPTED FILES\r\n!! DO NOT CHANGE YOUR ID\r\n!! DO NOT REMOVE YOUR ID.KEY FILE\r\n --- BEGIN PERSONAL ID --- \r\neyJleHQiOiIuMlpybDVqIiwgImtleSI6InozNWRzcEZaOFltMEs0bW4xQVNrZE0\r\n*** [всего 556 знаков]\r\n --- END PERSONAL ID ---\r\nПеревод записки на русский язык:\r\nВаша сеть заблокирована.\r\nВсе ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы и имеют\r\nрасширение: .2Zrl5j\r\nРезервные копии и теневые копии также шифруются или удаляются. Любая сторонняя программа может\r\nповредить зашифрованные данные, но не восстановить.\r\nС этого момента будет невозможно использовать файлы, пока они не будут расшифрованы.\r\nЕдинственный способ восстановления файлов - это покупка уникального закрытого ключа.\r\nТолько мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы.\r\nЧтобы получить информацию (расшифровать ваши файлы), выполните следующие действия:\r\n1) Загрузите и установите браузер Tor: https://www.torproject.org/download/\r\n2) Откройте наш веб-сайт в TOR:\r\nxxxx://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB\r\n3) Вставьте свой ID в форму (вы можете найти свой ID ниже)\r\n!! ВНИМАНИЕ !!\r\n!! Любая сторонняя программа может повредить зашифрованные данные, но не восстановить.\r\n!! НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ\r\n!! НЕ ИЗМЕНЯЙТЕ СВОЙ ID\r\n!! НЕ УДАЛЯЙТЕ СВОЙ ID.KEY ФАЙЛ\r\nЗапиской с требованием выкупа также выступает сайт вымогателей: \r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 3 of 14\n\nНачальная страница сайта, без ввода кода\r\n Верхняя часть страницы сайта после ввода кода\r\nНижняя часть страницы сайта после ввода кода\r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 4 of 14\n\nСодержание страницы сайта:\r\nYour files have been locked!\r\nWhats happened?\r\nAll documents, photos, databases and other important files encrypted\r\nHow to decrypt files?\r\nThe only way to decrypt your files is to\r\nreceive the m9V742-Decryptor\r\nAre you ready?\r\nWe guarantee that you can recover all your files.\r\nBut you have not so enough time.\r\nBuy m9V742-Decryptor\r\nPrice now: 0.4806 BTC (~3800$)\r\nYou have: 3 days. 08:34:43\r\nIf payment isnt made in this time, the cost will be doubled: 0.9613 BTC (~7600$)\r\n    Buy m9V742-Decryptor\r\n    Support Chat\r\n1. Create Bitcoin Wallet (we recommend Blockchain.info)\r\n2. Buy necessary amount of Bitcoins - 0.4806 BTC\r\n3. Send 0.4806 BTC to the address: 1DUBrMcH9T13oFSa59jxtFDM5eWTP8v2yc\r\n4. After payment paste your transaction id in this form.\r\n5. If payment is done - reload current page.\r\n---\r\nYou can buy BTC here\r\ncoinbase.com\r\nbitpanda.com\r\ncex.io\r\ngemini.com\r\nbuybitcoinworldwide.com\r\nПеревод страницы сайта на русский язык: \r\nВаши файлы блокированы!\r\nЧто случилось?\r\nВсе документы, фотографии, базы данных и другие важные файлы зашифрованы\r\nКак расшифровать файлы?\r\nЕдинственный способ расшифровать ваши файлы - это получить m9V742-Decryptor\r\nВы готовы?\r\nМы гарантируем, что вы можете восстановить все ваши файлы.\r\nНо у вас не так много времени.\r\nКупить m9V742-Decryptor\r\nЦена сейчас: 0.4806 BTC (~ 3800 $)\r\nУ вас есть: 3 дня. 8:34:43\r\nЕсли оплата не будет произведена в это время, стоимость будет удвоена: 0,9613 BTC (~ 7600 $)\r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 5 of 14\n\nКупить m9V742-Decryptor\r\n     Чат поддержки\r\n1. Создайте биткойн-кошелек (мы рекомендуем Blockchain.info)\r\n2. Купите необходимое количество биткойнов - 0.4806 BTC\r\n3. Отправьте 0,4806 BTC по адресу: 1DUBrMcH9T13oFSa59jxtFDM5eWTP8v2yc\r\n4. После оплаты вставьте идентификатор вашей транзакции в эту форму.\r\n5. Если оплата сделана - перезагрузите текущую страницу.\r\n---\r\nВы можете купить BTC здесь\r\ncoinbase.com\r\nbitpanda.com\r\ncex.io\r\ngemini.com\r\nbuybitcoinworldwide.com\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Rig EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные\r\nспособы распространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе\r\nзагрузки командами:\r\nvssadmin.exe Delete Shadows /All /Quiet\r\nbcdedit.exe /set {default} recoveryenabled No\r\nbcdedit.exe /set {default} bootstatuspolicy ignoreallfailures\r\nwbadmin DELETE SYSTEMSTATEBACKUP\r\nwbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest\r\nwmic.exe SHADOWCOPY /nointeractive\r\n➤ Завершает работу ряда процессов и служб, относящихся к базам данных, бухгалтерии, корпоративных\r\nслужбам и пр., чтобы затем без препятствий шифровать их файлы: \r\nMSSQL, MSSQLServer, SQL, MSExchange, QuickBooks, Firebird, WinDefend, IISADMIN и другие. \r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 6 of 14\n\nСписок файловых расширений, подвергающихся шифрованию:\r\nПочти все типы файлов, кроме пропускаемых. \r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nПропускаемые типы файлов с расширениями:\r\n.exe,. dll, .sys, .ini, .lnk, .key, .rdp\r\nПропускаемые папки с файлами: \r\nAppData\r\nProgram Files\r\nProgram Files (x86)\r\nAppData\r\nboot\r\nPerfLogs\r\nProgramData\r\nGoogle\r\nIntel\r\nMicrosoft\r\nApplication Data\r\nTor Browser\r\nWindows\r\nako-readme.txt\r\nid.key\r\n➤ Во время шифрования Ako использует функцию GetAdaptersInfo для получения списка сетевых\r\nадаптеров и связанных с ними IP-адресов. Затем выполняет проверку ping любых локальных сетей,\r\nиспользуя функцию IcmpSendEcho, чтобы создать список отвечающих машин. Любые машины, которые\r\nответят на запрос, будут проверены на наличие общих сетевых ресурсов для шифрования.\r\nКогда вымогатель закончит работу, ключ шифрования, используемый для шифрования файлов жертвы,\r\nтоже будет зашифрован и сохранен в файле с именем  id.key на Рабочем столе жертвы.\r\nФайлы, связанные с этим Ransomware:\r\nako-readme.txt - название текстового файла\r\nak0.exe - исполняемый файл вымогателя; \r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 7 of 14\n\nak0_new.exe - исполняемый файл вымогателя; \r\nid.key\r\nDllHost.exe\r\nAgreement.zip ( Agreement.scr) - email-вложение, которое устанавливает шифровальщика (пароль на архив -\r\n2020). \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nHKEY_CURRENT_USER\\Software\\akocfg\r\nСм. ниже результаты анализов.\r\nФайловый маркер:\r\nCECAEFBE\r\nСетевые подключения и связи:\r\nTor-URL: xxxx://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB\r\nEmail: - \r\nBTC: 1DUBrMcH9T13oFSa59jxtFDM5eWTP8v2yc\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 8 of 14\n\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 15 января 2020:\r\nПост в Твиттере \u003e\u003e\r\nЗаписка: ako-readme.txt. Содержание изменилось. \r\nВерсия обновлена с \"0.5\" до \"1.0\"\r\nСлева v0.5, справа v1.0\r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 9 of 14\n\n➤ Содержание записки: \r\n--- We apologize! ---\r\nYour network have been locked.\r\n----------------------------------\r\n| Whats happened?\r\n----------------------------------\r\nAll your files, documents, photos, databases and other important data are encrypted and have the ext\r\nBackups and shadow copies also encrypted or removed. Any third-party software may damage encrypted c***\r\nFrom this moment, it will be impossible to use files until they are decrypted.\r\nThe only method of recovering files is to purchase an unique private key.\r\nOnly we can give you this key and only we can recovery your files.\r\n----------------------------------\r\n| Guarantees?\r\n----------------------------------\r\nAs you read above, files can be decrypted only using our private key and a special program.\r\nThe only guarantees we can give are decryption of your any file.\r\nSo you can decrypt any file from your system for free on our website.\r\nWe guarantee that you can recovery all your files. But you have not so enough time.\r\n----------------------------------\r\n| How to recovery my files?\r\n----------------------------------\r\nTo get info (decrypt your files) you have 1 way:\r\n1) [Recommended] via Tor Browser:\r\n    a) Download and install Tor Browser: https://www.torproject.org/download/\r\n    b) Open our website in TOR: http://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/\r\nWhen you open our website, put the following key in the input form:\r\n{PATTERN_ID}\r\n!! ATTENTION !!\r\n!! Any third - party software may damage encrypted data but not recover. !!\r\n!! DO NOT MODIFY ENCRYPTED FILES !!\r\n!! DO NOT CHANGE YOUR ID !!\r\n!! DO NOT REMOVE YOUR ID.KEY FILE !!\r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 10 of 14\n\nОбновление от 11 января 2020:\r\nПост на форуме \u003e\u003e\r\nРасширение: .btHTIb\r\nЗаписка: ako-readme.txt\r\nBTC: 19mXMJ3ZVY8eHjZpGcuq6M7hwGXDNnF64p\r\n➤ Содержание txt-записки: \r\nYour network have been locked.\r\nAll your files, documents, photos, databases and other important data are encrypted and have the extension:\r\n.btHTIb\r\nBackups and shadow copies also encrypted or removed. Any third-party software may damage encrypted data but\r\nnot recover.\r\nFrom this moment, it will be impossible to use files until they are decrypted.\r\nThe only method of recovering files is to purchase an unique private key.\r\nOnly we can give you this key and only we can recovery your files.\r\nTo get info (decrypt your files) follow this steps:\r\n1) Download and install Tor Browser: https://www.torproject.org/download/\r\n2) Open our website in TOR:\r\nhttp://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB\r\n3) Paste your ID in form (you can find your ID below)\r\n!! ATTENTION !!\r\n!! Any third - party software may damage encrypted data but not recover.\r\n!! DO NOT MODIFY ENCRYPTED FILES\r\n!! DO NOT CHANGE YOUR ID\r\n!! DO NOT REMOVE YOUR ID.KEY FILE\r\n --- BEGIN PERSONAL ID --- \r\neyJleHQiOiIuYnRIVEliIiwgImtleSI6Ilh*** [всего 556 знаков]\r\n --- END PERSONAL ID ---\r\n---\r\n➤ Содержание сайта вымогателей: \r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 11 of 14\n\nYour files have been locked!\r\nWhats happened?\r\nAll documents, photos, databases and other important files encrypted\r\nHow to decrypt files?\r\nThe only way to decrypt your files is to\r\nreceive the btHTIb-Decryptor\r\nAre you ready?\r\nWe guarantee that you can recover all your files.\r\nBut you have not so enough time.\r\nBuy btHTIb-Decryptor\r\nPrice now: 0.3058 BTC (~3000$)\r\nYou have: 4 days. 01:11:52\r\nIf payment isnt made in this time, the cost will be doubled: 0.6117 BTC (~6000$)\r\nBuy btHTIb-Decryptor   Support Chat\r\n1. Create Bitcoin Wallet (we recommend Blockchain.info)\r\n2. Buy necessary amount of Bitcoins - 0.3058 BTC\r\n3. Send 0.3058 BTC to the address: 19mXMJ3ZVY8eHjZpGcuq6M7hwGXDNnF64p\r\n4. After payment paste your transaction id in this form.\r\n[]  [Apply]\r\n5. If payment is done - reload current page.\r\n[Download decrypted files]\r\n***\r\nОбновление от 16 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .Xs19FM\r\nСпециальный файл: do_not_remove_ako.Xs19FM_id.key\r\nРезультаты анализов: VT + AR\r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 12 of 14\n\nОбновление от 12 мая 2020:\r\nСсылка на статью на сайте BleepingComputer \u003e\u003e\r\nНа специальном Leaks-сайте, созданном операторами Ako Ransomware, вымогатели сообщают, что\r\nнекоторые компании должны платить выкуп как за дешифровщик, так и за удаление украденных файлов. В\r\nкачестве примера, Ако-вымогатели опубликовали данные одной из жертв и заявили, что они получили 350\r\n000 долларов за дешифровщик, но всё равно опубликовали файлы после того, как не получили отдельную\r\nплату за удаление украденных файлов.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tw + Tw + Tw + myTweet\r\n ID Ransomware (ID as Ako / MedusaReborn)\r\n Write-up, Write-up, Topic of Support + Message\r\n *\r\n Thanks:\r\n S!Ri, Vitali Kremez, Raby, MHT, Michael Gillespie,\r\n Andrew Ivanov (author)\r\n Lawrence Abrams, Karsten Hahn\r\n to the victims who sent the samples\r\n \r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 13 of 14\n\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/01/ako-ransomware.html\r\nPage 14 of 14",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/01/ako-ransomware.html"
	],
	"report_names": [
		"ako-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434754,
	"ts_updated_at": 1775826761,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/30d2ab9a5ec022f2c559dd2b089ecd1d6c44205d.pdf",
		"text": "https://archive.orkl.eu/30d2ab9a5ec022f2c559dd2b089ecd1d6c44205d.txt",
		"img": "https://archive.orkl.eu/30d2ab9a5ec022f2c559dd2b089ecd1d6c44205d.jpg"
	}
}