{
	"id": "308e8c67-71ea-404b-8c47-3fbb7c1bce26",
	"created_at": "2026-04-06T00:12:17.691346Z",
	"updated_at": "2026-04-10T03:21:10.550069Z",
	"deleted_at": null,
	"sha1_hash": "4fb7c3073c61378a4ac57d131dcf2c46dcebba6b",
	"title": "MBRlock, Hax",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 440277,
	"plain_text": "MBRlock, Hax\r\nArchived: 2026-04-05 18:57:46 UTC\r\nMBRlock Ransomware\r\nAliases: Haxlocker, Dexcrypt\r\n(шифровальщик-вымогатель, MBR-модификатор)\r\nЭтот крипто-вымогатель шифрует диски пользователей, а затем требует выкуп в 30 юаней, чтобы вернуть\r\nфайлы. Оригинальное название: MBRlock и Hax. Китайское название: 易语言程序. На файле написано:\r\nHax.exe. Написан на языке FlyStudio. В обновлениях также могут быть неродственные варианты. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.MBRlock.280\r\nALYac -\u003e Trojan.Ransom.MBRLock\r\nAvira (no cloud) -\u003e TR/Ransom.MBRlock.qqmpg\r\nBitDefender -\u003e Gen:Variant.Ransom.MBRLock.3\r\nESET-NOD32 -\u003e Win32/MBRlock.AZ\r\nMalwarebytes -\u003e Trojan.MalPack.FlyStudio\r\nMicrosoft -\u003e Ransom:Win32/Dexcrypt\r\nRising -\u003e Ransom.Dexcrypt!1.B151 (CLASSIC)\r\nTrendMicro -\u003e Ransom_HAXLOCKER.THBIBH\r\n---\r\n© Генеалогия: выясняется.\r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 1 of 11\n\nИзображение робота на иконке файла Hax.exe\r\nК зашифрованным файлам добавляется расширение *нет данных*.\r\nАктивность этого крипто-вымогателя пришлась на начало февраля 2018 г. Ориентирован на китайских и\r\nанглоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗапиской с требованием выкупа выступает чёрный экран блокировки:\r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 2 of 11\n\nСкриншоты разных образцов имеют различия в тексте\r\nСодержание записки о выкупе:\r\nYour disk have a lock!!!Please enter the unlock password\r\nyao mi ma gei 30 yuan jia qq 2055965068\r\nПеревод записки на русский язык:\r\nНа вашем диске замок!!! Введите пароль разблокировки\r\nПароль за 30 юаней на qq 2055965068\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений,\r\nперепакованных и заражённых инсталляторов. См. также \"Основные способы распространения\r\nкриптовымогателей\" на вводной странице блога.\r\n!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total\r\nSecurity, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.\r\n➤ После установки MBRLocker сразу перезагружает компьютер, а жертве показывается чёрный экран с\r\nизображением черепа в ASCII и сообщением отправить 30 юаней на адрес qq 2055965068, чтобы вернуть\r\nдоступ к компьютеру.\r\n➤ Требует права администратора на блокировку MBR. Получив права перезаписывает MBR. \r\n👉 Восстановить доступ можно стандартными средствами восстановления Windows: fixmbr и fixboot. \r\n👉 Предварительно защитить диск можно с помощью бесплатного инструмента MBRFilter.\r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 3 of 11\n\nСписок файловых расширений, подвергающихся шифрованию:\r\n.BMP, .CUR, .GIF, .ICO, .JPG, .MID, .PNG, .prn, .txt, .WAV (10 расширений).\r\nЭто текстовые файлы, фотографии, музыка, иконки, курсоры и пр.\r\nФайлы, связанные с этим Ransomware:\r\nRansomware MBRLock.exe (Hax.exe)\r\nrunas.exe\r\n\u003crandom\u003e.exe\r\n360.dll и другие\r\n➤ Судя по результатам анализа, использует файлы от китайского антивируса 360 Security.\r\nРасположения:\r\n\\Desktop\\Ransomware MBRLock.exe\r\nC:\\Windows\\System32\\runas.exe\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nANY.RUN анализ и обзор \u003e\u003e\r\nГибридный анализ \u003e\u003e\r\nVirusTotal анализ \u003e\u003e\r\nДругой анализ \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно.\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 28 июня 2020: \r\nКонтакт в QQ: ID 3462958206 .\r\nРезультаты анализов: VT + IA\r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 4 of 11\n\nВариант от 29 октября 2020:\r\nКонтакт в QQ: ID 430240479\r\n➤ Текст на экране: \r\nWarning!!!Because you do not study well, so your computer has been encrypted by me, want to decrypt please\r\nstudy well!!!Automatic decryption time:32,767 days to go. Decryption add QQ:430240479 -Beiliu -Powered By\r\nBeiguo\r\nКод для этого варианта: beiliu666NB\r\n---\r\nТакже используется информационное диалоговое окно, которое можно закрыть. \r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 5 of 11\n\nРезультаты анализов: VT + IA\r\n➤ Обнаружения: \r\nALYac -\u003e Trojan.Ransom.MBRlock\r\nAvira (no cloud) -\u003e TR/Ransom.MBRlock.kdilv\r\nBitDefenderGeneric.Ransom.MBRLock.330538BF\r\nDrWeb -\u003e Trojan.MBRlock.301\r\nESET-NOD32 -\u003e A Variant Of Win32/MBRlock.AQ\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Win32.Mbro.gen\r\nMalwarebytes -\u003e Ransom.MBRLock\r\nMicrosoft -\u003e Ransom:Win32/Molock.A!bit\r\nRising -\u003e Ransom.MBRlock!1.B6DC (CLASSIC)\r\nTencent -\u003e Win32.Trojan.Mbro.Wtxk\r\nTrendMicro -\u003e Ransom.Win32.MBRLOCKER.SM\r\n=== 2021 ===\r\nВариант от 5 января 2021: \r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 6 of 11\n\nФайлы: covid21.exe, covid.vbs, covid21.vbs, covid21.bat, screenscrew.exe, corona.vbs, covid.bmp,\r\nPayloadMBR.exe, PayloadGDI.exe, CLWCP.exe\r\nРезультаты анализов: VT + TG + IA\r\n➤ Обнаружения: \r\nALYac -\u003e Trojan.Agent.KillMBR\r\nAvira (no cloud) -\u003e TR/KillMBR.NDS.1\r\nBitDefender -\u003e Dropped:Application.Joke.Blurscrn.A\r\nDrWeb -\u003e Trojan.KillMBR.24874\r\nESET-NOD32 -\u003e A Variant Of Win32/KillMBR.NDS\r\nMalwarebytes -\u003e Ransom.Winlock\r\nMicrosoft -\u003e Ransom:Win32/MBRLocker.DA!MTB\r\nRising -\u003e Ransom.MBRLocker!8.F8C3 (CLOUD)\r\nTencent -\u003e Win32.Trojan.Diskwriter.Dxni\r\nTrendMicro -\u003e Ransom.Win32.MBRLOCKER.THAABBA\r\nВариант от 6 января 2021: \r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 7 of 11\n\nСнимок экрана: \r\nФайл: mbr lock.bin\r\nРезультаты анализов: VT \r\n➤ Обнаружения: \r\nALYac -\u003e Trojan.Ransom.MBRlock\r\nDrWeb -\u003e Trojan.Siggen9.27655\r\nESET-NOD32 -\u003e A Variant Of Win32/KillMBR.NDS\r\nKaspersky -\u003e Trojan.Win32.DiskWriter.ebe\r\nMalwarebytes -\u003e Trojan.MBRLock\r\nMicrosoft -\u003e Trojan:Win32/Killmbr\r\nRising -\u003e Trojan.KillMBR!1.C48A (CLASSIC)\r\nTrendMicro -\u003e Trojan.Win32.KILLMBR.AC\r\nВариант от 7 января 2021: \r\nРезультаты анализов: VT + VT\r\nСнимки экрана: \r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 8 of 11\n\nРезультаты анализов: VT\r\nВариант от 22 ноября 2021: \r\nФайл: 1.exe\r\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.KillMBR.24875\r\nBitDefender -\u003e Trojan.GenericKD.38108433\r\nESET-NOD32 -\u003e Win64/KillMBR.G\r\nKaspersky -\u003e Trojan.Win64.Agentb.beg\r\nMicrosoft -\u003e Trojan:Win32/Sabsik.FL.B!ml\r\nSymantec -\u003e Trojan.Gen.2\r\nTencent -\u003e Win32.Trojan.Trojan.Ovoa\r\nTrendMicro -\u003e CallTROJ_GEN.R002H0CKP21\r\nВариант от 28 ноября 2021: \r\nФайл: Cmd.Exe\r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 9 of 11\n\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.KillMBR.24872\r\nBitDefender -\u003e Trojan.GenericKD.47511372\r\nESET-NOD32 -\u003e A Variant Of Win32/KillMBR.NEJ\r\nKaspersky -\u003e Trojan.Win32.DiskWriter.hdc\r\nMicrosoft -\u003e Trojan:Win32/Sabsik.FL.B!ml\r\nSymantec -\u003e Trojan.Gen.MBT\r\nTrendMicro -\u003e TROJ_GEN.R002H0DKS21\r\nВариант от 18 декабря 2021: \r\nФайл: DiskKiller-Clean.exe\r\nТолько показывает сообщение, не повреждая MBR. \r\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nDrWeb \u003e Trojan.MBRlock.320\r\nTrendMicro -\u003e TROJ_GEN.R002H06LI21\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet\r\n ID Ransomware\r\n *\r\n *\r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 10 of 11\n\nAdded later:\r\nWrite-up on BC (added on February 10, 2018)\r\n*\r\n Thanks:\r\n JAMESWT\r\n ANY.RUN\r\n Andrew Ivanov\r\n Lawrence Abrams\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: http://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nhttp://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html\r\nPage 11 of 11",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"http://id-ransomware.blogspot.com.tr/2018/02/mbrlock-hax-ransomware.html"
	],
	"report_names": [
		"mbrlock-hax-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434337,
	"ts_updated_at": 1775791270,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/4fb7c3073c61378a4ac57d131dcf2c46dcebba6b.pdf",
		"text": "https://archive.orkl.eu/4fb7c3073c61378a4ac57d131dcf2c46dcebba6b.txt",
		"img": "https://archive.orkl.eu/4fb7c3073c61378a4ac57d131dcf2c46dcebba6b.jpg"
	}
}