{
	"id": "7836acdf-8bed-4a2e-b486-c8db0f15cd6e",
	"created_at": "2026-04-06T00:22:11.265154Z",
	"updated_at": "2026-04-10T13:11:39.927772Z",
	"deleted_at": null,
	"sha1_hash": "3b35ef2309b700300ed0cba8b23349f9897a40e0",
	"title": "Jeno",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 460187,
	"plain_text": "Jeno\r\nArchived: 2026-04-05 19:49:49 UTC\r\nJeno Ransomware\r\nAliases: Jest, Valeria\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в\r\n0.3 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет\r\nданных.\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31420\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.1\r\nAvira (no cloud) -\u003e TR/Dropper.Gen\r\nESET-NOD32 -\u003e Win32/Filecoder.OBM\r\nMalwarebytes -\u003e Ransom.Valeria\r\nRising -\u003e Ransom.Agent!1.C2C9 (CLOUD)\r\nTrendMicro -\u003e TROJ_GEN.R067C0RD220\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: FunFact ? \u003e\u003e Jeno (Jest, Valeria)\r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .jest\r\nhttps://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nPage 1 of 10\n\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nОбразец этого крипто-вымогателя был найден в начале апреля 2020 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру. На момент написания статьи и спустя 2\r\nнедели после этого нет никаких данных о распространении. Возможно, они малочисленны. \r\nИз-за ошибки в программе или специального умысла не указано никаких контактов для связи, поэтому\r\nможно предположить, что вымогатели не собирались возвращать файлы даже после уплаты выкупа.\r\nУплата выкупа бесполезна! \r\nЗаписка с требованием выкупа называется: note.ini\r\nЗаписка с требованием выкупа запускается с помощью команды, которая запускает Блокнот для открытия\r\nэтого файла. \r\nСодержание записки:\r\nWhat Happened to My Computer?\r\nYour important files are encrypted.\r\nMany of your documents, photos, videos, databases and other files are no longer accessible because they have\r\nhttps://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nPage 2 of 10\n\nbeen encrypted. Maybe you are \r\nbusy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without\r\nour decryption service.\r\nCan I Recover My Files?\r\nSure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.\r\nIf you want to decrypt all your files, you need to pay.\r\nHow Do I Pay?\r\nPayment is accepted in Bitcoin only. For more information, click \u003cAbout bitcoin\u003e.\r\nPlease check the current price of Bitcoin and buy some bitcoins. For more information, click \u003cHow to buy\r\nbitcoins\u003e.\r\nAnd send the correct amount to the address specified in this window.\r\nAfter your payment, click \u003cCheck Payment\u003e.\r\nOnce the payment is checked, you can start decrypting your files immediately.\r\nWe strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay\r\nand the payment gets processed. If \r\nyour anti-virus gets updated and removes this software automatically, it will not be able to recover your files even\r\nif you pay!\r\n1. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites:\r\nhttps://cex.io/\r\nhttps://www.binance.com/\r\nhttps://www.coinbase.com/\r\n2. After then, if you already have Bitcoins, pay us 0.3 BTC on following our Bitcoin address.\r\n3. Then, press the \"Check Payment\" button. We will automatically decrypt your files, after bitcoin transfer.\r\nSend 0.3 BTC to; \r\n1MZJgjrDz6h6TPwRAxuh1gEWh2AETrNBAy\r\nПеревод текста записки:\r\nЧто случилось с моим компьютером?\r\nВаши важные файлы зашифрованы.\r\nМногие ваши документы, фото, видео, базы данных и другие файлы больше не доступны, потому что они\r\nзашифрованы. Может быть, вы ищете способ восстановить ваши файлы, но не тратьте свое время. Никто\r\nне сможет восстановить ваши файлы без нашего сервиса расшифровки.\r\nМогу ли я восстановить мои файлы?\r\nКонечно. Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы. Но у вас не так\r\nмного времени.\r\nЕсли вы хотите расшифровать все ваши файлы, вам нужно заплатить.\r\nКак мне оплатить?\r\nОплата принимается только в биткойнах. Для получения дополнительной информации нажмите \u003cAbout\r\nbitcoin\u003e.\r\nПожалуйста, проверьте текущую цену Биткойна и купите немного биткойнов. Для получения\r\nдополнительной информации нажмите \u003cHow to buy bitcoins\u003e.\r\nИ отправьте правильную сумму по адресу, указанному в этом окне.\r\nhttps://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nPage 3 of 10\n\nПосле оплаты нажмите \u003cCheck Payment\u003e.\r\nПосле того, как платеж проверен, вы можете немедленно приступить к расшифровке файлов.\r\nМы настоятельно рекомендуем вам не удалять эту программу и отключить антивирус на некоторое время,\r\nпока вы не оплатите и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит\r\nэту программу, он не сможет восстановить ваши файлы, даже если вы заплатите!\r\n1. Чтобы заплатить нам, вы должны использовать валюту Биткойн. Вы можете легко купить биткойны на\r\nследующих сайтах:\r\nhttps://cex.io/\r\nhttps://www.binance.com/\r\nhttps://www.coinbase.com/\r\n2. После этого, если у вас уже есть биткойны, заплатите нам 0.3 BTC, на следующий наш биткойн-адрес.\r\n3. Затем нажмите кнопку \"Check Payment\". Мы автоматически расшифруем ваши файлы после перевода\r\nбиткойнов.\r\nОтправьте 0.3 BTC на;\r\n1MZJgjrDz6h6TPwRAxuh1gEWh2AETrNBAy\r\nДругим информатором жертвы выступает экран блокировки с тем же текстом и таймером:\r\nЕще одним информатором жертвы является изображение, заменяющее обои Рабочего стола. \r\nhttps://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nPage 4 of 10\n\nСодержание текста с изображения:\r\n!! ATTENTION !!\r\nYOUR FILES HAVE BEEN ENCRYPTED!\r\nAll of your documents, photos, databases and other important files have been encrypted with RSA encryption.\r\nYou will not be able to recover your files without the private key which has been saved on our server.\r\nAn antivirus can not recover your files.\r\nView the file \"Decryption Notes\" on your Desktop to fix this.\r\nSend 0.3 BTC To: 1MZJgjrDz6h6TPwRAxuh1gEWh2AETrNBAy\r\nПеревод текста на русский язык:\r\nВНИМАНИЕ !!\r\nВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!\r\nВсе ваши документы, фото, базы данных и другие важные файлы зашифрованы с шифрованием RSA.\r\nВы не сможете восстановить ваши файлы без закрытого ключа, который был сохранен на нашем сервере.\r\nАнтивирус не может восстановить ваши файлы.\r\nЧтобы исправить это, просмотрите файл \"Decryption Notes\" на Рабочем столе.\r\nОтправь 0.3 BTC на: 1MZJgjrDz6h6TPwRAxuh1gEWh2AETrNBAy\r\nТехнические детали\r\nНа момент написания статьи и спустя 2 недели после этого нет никаких данных о распространении.\r\nВозможно, что образец был пробной разработкой и не распространялся разработчиком с целью получения\r\nвыкупа. Иначе бы был указан хотя бы один контакт для связи. Транзакции у BTC-кошелька, указанного в\r\nзапсике, пустые. \r\nПосле доработки вполне может начать распространяться путём взлома через незащищенную\r\nконфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов,\r\nэксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых\r\nинсталляторов. См. также \"Основные способы распространения криптовымогателей\" на вводной странице\r\nhttps://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nPage 5 of 10\n\nблога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.3fr, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ai, .arw, .asp, .aspx, .backupdb, .bak, .bas, .bay, .cdr, .cer, .cfg,\r\n.class, .conf, .config, .cpp, .cr2, .crt, .crw, , cs, .css, .db, .dbf, .den, .der, .dng, .doc, .docb, .docm, .docx, .dot,\r\n.dotm, .dotx, .dwg, .dxf, .dxg, .edb, .eps, .erf, .fit, .htm, .html, .indd, .java, .jpe, .jpeg, .jpg, .kdc, .log, .mail, .mdb,\r\n.mdf, .mef, .mrw, .ned, .nef, .nrp, .nrw, .ntm, .odb, .odm, .odp, .ods, .odt, .orf, .ost, .ovf, .p12, .p7b, .p7c, .pdd, .pdf,\r\n.pef, .pem, .pfx, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .proj, .psd, .pst, .py,\r\n.pyc, .r3d, .rar, .raw, .rtf, , rw2, .rwl, .sldm, .sldx, .sin, .sql, .srf, .srw, .txt, .vb, .vmdk, .vmx, .wb2, .wpd, .wps, .xla,\r\n.xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (132 расширения).\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов,\r\nархивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nnote.ini - название файла с требованием выкупа\r\njeno2.exe (recover.exe)\r\nREADME - Decryption Note.lnk - ссылка на Рабочем столе\r\nLNK -\u003e C:\\Windows\\System32\\notepad.exe\r\nimg0.jpg - изображение, заменяющее обои Рабочего стола\r\nencryptedfiles.eco - специальный файл\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nx64.exe\r\nrps.exe\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\ProgramData\\note.ini\r\nC:/Windows/Web/Wallpaper/Windows/img0.jpg\r\n➤ Для замены обоев используется следующая команда:\r\nC:\\Windows\\System32\\takeown.exe /F C:\\Windows\\Web\\Wallpaper\\Windows\\img0.jpg\r\nC:\\Windows\\System32\\icacls.exe C:\\Windows\\Web\\Wallpaper\\Windows\\img0.jpg /grant Users:F\r\n➤ Выполняет PowerShell-сценарий для удаления любых журналов.\r\nhttps://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nPage 6 of 10\n\nСкриншоты свойств файла jeno2.exe:\r\n \r\nСкриншоты кода от исследователей:\r\n \r\nМаркер и содержимое зашифрованного файла:\r\nJEST!\r\nСозданные процессы:\r\nC:\\ProgramData\\recover.exe\r\nC:\\Windows\\System32\\wbem\\WMIC.exe shadowcopy delete\r\nC:\\Windows\\System32\\vssadmin.exe delete shadows /all /quiet\r\nC:\\Windows\\System32\\taskkill.exe /F /IM MSExchange*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM Microsoft*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM vmware*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM Tomcat*\r\nhttps://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nPage 7 of 10\n\nC:\\Windows\\System32\\taskkill.exe /F /IM ora*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM tns*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM mysql*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM sql*\r\nКоманды оболочки:\r\nRD.exe /s C:\\$Recycle.Bin /Q\r\nwmic.exe shadowcopy delete\r\nvssadmin.exe delete shadows /all /quiet\r\nwbadmin.exe delete catalog -quiet\r\nbcdedit.exe /set {default} bootstatuspolicy ignoreallfailures\r\nbcdedit.exe /set {default} recoveryenabled no\r\ntaskkill.exe /F /IM MSExchange*\r\ntaskkill.exe /F /IM Microsoft*\r\ntaskkill.exe /F /IM vmware*\r\ntaskkill.exe /F /IM Tomcat*\r\ntaskkill.exe /F /IM ora*\r\ntaskkill.exe /F /IM tns*\r\ntaskkill.exe /F /IM mysql*\r\ntaskkill.exe /F /IM sql*\r\nЗавершенные процессы:\r\nrecover.exe\r\nC:\\Windows\\System32\\vssadmin.exe delete shadows /all /quiet\r\nC:\\Windows\\System32\\wbem\\WMIC.exe shadowcopy delete\r\nC:\\Windows\\System32\\taskkill.exe /F /IM MSExchange*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM Microsoft*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM vmware*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM Tomcat*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM ora*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM tns*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM mysql*\r\nC:\\Windows\\System32\\taskkill.exe /F /IM sql*\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: - \r\nhttps://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nPage 8 of 10\n\nBTC: 1MZJgjrDz6h6TPwRAxuh1gEWh2AETrNBAy\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nЕщё не было обновлений этого варианта.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nВнимание!\r\nФайлы можно расшифровать с помощью специалистов X-Force IRIS\r\nДля информации перейдите по следующей ссылке \u003e\u003e\r\nМы никак не связаны с ними и не консультируем по этому вопросу.\r\nhttps://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nPage 9 of 10\n\nRead to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as ***)\r\n Write-up, Topic of Support\r\nAdded later: Write-up by X-Force IRIS (on May 15, 2020)\r\n Thanks:\r\n Petrovic, S!Ri, Michael Gillespie\r\n Andrew Ivanov (author)\r\n X-Force IRIS\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html\r\nPage 10 of 10",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/04/jeno-ransomware.html"
	],
	"report_names": [
		"jeno-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434931,
	"ts_updated_at": 1775826699,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3b35ef2309b700300ed0cba8b23349f9897a40e0.pdf",
		"text": "https://archive.orkl.eu/3b35ef2309b700300ed0cba8b23349f9897a40e0.txt",
		"img": "https://archive.orkl.eu/3b35ef2309b700300ed0cba8b23349f9897a40e0.jpg"
	}
}