{
	"id": "89c3e9f0-23b2-492c-af5a-e45081f297ba",
	"created_at": "2026-04-06T00:08:13.672224Z",
	"updated_at": "2026-04-10T13:12:39.300237Z",
	"deleted_at": null,
	"sha1_hash": "59b4395368800f2b650e287144b45c9e9e6776be",
	"title": "RotorCrypt",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 833007,
	"plain_text": "RotorCrypt\r\nArchived: 2026-04-05 22:50:05 UTC\r\nRotorCrypt (RotoCrypt) Ransomware\r\nTar Ransomware\r\n(шифровальщик-вымогатель) \r\nTranslation into English\r\nКак удалить? Как расшифровать? Как вернуть данные? \r\nПо ссылке выберите Управление \"К\" МВД России и подайте онлайн-заявление. \r\nст. 272 \"Неправомерный доступ к компьютерной информации\" \r\nст. 273 \"Создание, использование и распространение вредоносных компьютерных программ\"\r\nИнформация о шифровальщике\r\n   Этот крипто-вымогатель шифрует данные пользователей и серверов организаций с помощью RSA, а\r\nзатем требует связаться с вымоагтелями по email, чтобы вернуть файлы. За возвращение файлов в\r\nнормальное состояние вымогатели требуют выкуп в 7 биткоинов, 2000-5000 долларов или евро. Аппетит\r\nобнаглевших от безнаказанности вымогателей растёт не по дням, а по часам. \r\nОбнаружения: \r\nDr.Web -\u003e Trojan.Encoder.5342, Trojan.Encoder.29037\r\nBitDefender -\u003e Gen:Variant.Razy.109164, Gen:Variant.Ransom.RotorCrypt.1, Trojan.Ransom.RotorCrypt.A,\r\nTrojan.GenericKD.12470370, Gen:Variant.Ransom.RotorCrypt.2\r\nKaspersky -\u003e Trojan-Ransom.Win32.Rotor.*, HEUR:Trojan.Win32.Generic\r\n© Генеалогия: Gomasom \u003e RotorCrypt\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 1 of 18\n\nИзображение не принадлежит шифровальщику\r\nК зашифрованным файлам добавляются составные расширения по шаблону:\r\n\u003cfile_name\u003e.\u003cfile_extension\u003e\u003cransom_extension\u003e\r\nНа данный момент это расширения .c400, .c300 на конце файла и email вымогателей перед ними: \r\n!___ELIZABETH7@PROTONMAIL.COM____.c400\r\n!_____LIKBEZ77777@GMAIL.COM____.c400\r\n!_____GEKSOGEN911@GMAIL.COM____.c300\r\nТаким образом файл Document.doc после шифрования станет:\r\nDocument.doc!____ELIZABETH7@PROTONMAIL.COM____.c400  \r\nDocument.doc!_____LIKBEZ77777@GMAIL.COM____.c400\r\nDocument.doc!_____GEKSOGEN911@GMAIL.COM____.c300\r\nАктивность этого крипто-вымогателя пришлась на конец октября - ноябрь 2016 г., но продолжилась и в\r\n2017-2019 годах с другими расширениями (см. внизу \"Блок обновлений\"). \r\nЗаписки с требованием выкупа называются: \r\nreadme.txt или ***readme.txt\r\nСодержание записки о выкупе (из версии Tar):\r\nGood day\r\nYour files were encrypted/locked\r\nAs evidence can decrypt file 1 to 3 1-30MB\r\nThe price of the transcripts of all the files on the server: 7 Bitcoin\r\nRecommend to solve the problem quickly and not to delay\r\nAlso give advice on how to protect Your server against threats from the network\r\n(Files sql mdf backup decryption strictly after payment)!\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 2 of 18\n\nПеревод записки на русский язык:\r\nДобрый день\r\nВаши файлы зашифрованы / заблокированы\r\nКак доказательство можем расшифровать файл 1 до 3 1-30MB\r\nСтоимость расшифровки всех файлов на сервере: 7 Bitcoin\r\nРекомендуем решить эту проблему быстро и без задержки\r\nКроме того, дадим советы о том, как защитить свой сервер от угроз из сети\r\n(Файлы sql mdf backup дешифруем только после оплаты)!\r\nEmail вымогателей: \r\nELIZABETH7@PROTONMAIL.COM\r\nLIKBEZ77777@GMAIL.COM\r\nGEKSOGEN911@GMAIL.COM\r\nи другие (см. внизу в обновлениях)\r\nТехнические детали \r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений,\r\nперепакованных и заражённых инсталляторов. См. также \"Основные способы распространения\r\nкриптовымогателей\" на вводной странице блога.\r\nУдаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе\r\nзагрузки командами:\r\nvssadmin.exe delete shadows /all /Quiet\r\nbcdedit.exe /set {current} bootstatuspolicy ignoreallfailures\r\nbcdedit.exe /set {current} recoveryenabled no\r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.1cd, .avi, .bak, .bmp, .cf, .cfu, .csv, .db, .dbf, .djvu, .doc, .docx, .dt, .elf, .epf, .erf, .exe, .flv, .geo, .gif, .grs, .jpeg,\r\n.jpg, .lgf, .lgp, .log, .mb, .mdb, .mdf, .mxl, .net, .odt, .pdf, .png, .pps, .ppt, .pptm, .pptx, .psd, .px, .rar, .raw, .st,\r\n.sql, .tif, .txt, .vob, .vrp, .xls, .xlsb, .xlsx, .xml, .zip (53 расширения). \r\nРасширений может быть больше, в основном это файлы документов MS Office, изображения, архивы, базы\r\nданных, в том числе российского ПО 1C-Бухгалтерия, а также R-Keeper, Sbis и пр. Шифрованию\r\nподвержены общие сетевые ресурсы (диски, папки). \r\nФайлы, связанные с RotorCrypt Ransomware:\r\niuy.exe\r\n\u003crandom_name_8_chars\u003e.exe\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 3 of 18\n\n\u003crandom_name_8_chars\u003e___.exe\r\nDNALWmjW.exe и другие\r\nGWWABPFL_Unpack.EXE\r\n\u003crandom_name_8_chars\u003e.lnk\r\njHlxJqfV.lnk и другие\r\nРасположения: \r\n%TEMP%\\\u003crandom_name_8_chars\u003e.exe\r\nC:\\Users\\User_name\\AppData\\local\\\u003crandom_name_8_chars\u003e.exe\r\nC:\\Users\\User_name\\Desktop\\\u003crandom_name_8_chars\u003e.exe\r\nC:\\GWWABPFL_Unpack.EXE\r\n%LOCALAPPDATA%\\Microsoft Help\\DNALWmjW.exe\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\jHlxJqfV.lnk\r\nЗаписи реестра, связанные с RotorCrypt Ransomware:\r\nСм. ниже гибридные анализы. \r\nРезультаты анализов по версиям:\r\nГибридный анализ на Tar \u003e\u003e\r\nГибридный анализ для ELIZABETH \u003e\u003e \r\nГибридный анализ для LIKBEZ \u003e\u003e\r\nГибридный анализ на GEKSOGEN \u003e\u003e\r\nVirusTotal анализ на Tar \u003e\u003e\r\nVirusTotal анализ для ELIZABETH \u003e\u003e\r\nVirusTotal анализ для LIKBEZ \u003e\u003e\r\nVirusTotal анализ на GEKSOGEN \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются.\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nПредыстория 1:\r\nНа переходном периоде от Gomasom до Tar и RotorCrypt, и параллельно с их ранними версиями,\r\nиспользовались другие составные расширения \"roto\" и \"crypt\", от которых, собственно, и произошло\r\nназвание шифровальщика RotorCrypt, через обнаружение Trojan-Ransom.Win32.Rotor, используемое в\r\nпродуктах ЛК. \r\nВремя распространения: от июня 2015 до января 2016, с продолжением до октября 2016. \r\nШаблон расширений: \r\n\u003cfile_name\u003e.\u003cfile_extension\u003e\u003cransom_extension\u003e\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 4 of 18\n\nСписок расширений (List of extensions): \r\n.-.DIRECTORAT1C8@GMAIL.COM.roto\r\n.-.DIRECTORAT1C@GMAIL.COM.roto\r\n.-.directorat1c@gmail.com.roto\r\n.-.CRYPTSb@GMAIL.COM.roto\r\n!-==kronstar21@gmail.com=--.crypt\r\n!==helpsend369@gmail.com==.crypt\r\n!__crypthelp12@gmail.com_.crypt\r\n!___prosschiff@gmail.com_.crypt\r\n!____moskali1993@mail.ru___.crypt\r\n!______sufnex331@gmail.com______.crypt\r\n!______bigromintol971@gmail.com______.crypt\r\n!_______GASWAGEN123@GMAIL.COM____.crypt\r\n!_________pkigxdaq@bk.ru_______.crypt\r\n!______________DESKRYPTEDN81@GMAIL.COM.crypt\r\nДля некоторых из них, возможно и для всех, была выпущена утилита дешифровки RakhniDecryptor. \r\nОфициальная ссылка \u003e\u003e\r\nПредыстория 2: Tar Ransomware\r\nРанняя версия Tar добавляла к зашифрованным файлам расширение .tar или ___tar\r\nРаспространение Tar пришлось на вторую половину сентября - октябрь-ноябрь 2016. \r\nСообщения на форуме BC. \r\nРасширения того времени:\r\n!____GLOK9200@GMAIL.COM____.tar\r\n!____cocoslim98@gmail.com____.tar\r\nРезультаты анализов: HA+VT\r\nОбновление от 22 сентября 2016:\r\nРасширение: !_____ELIZABETH7@PROTONMAIL.COM____.tar\r\nРезультаты анализов: VT\r\nОбновление от 10 ноября 2016:\r\nEmail: GEKSOGEN911@GMAIL.COM\r\nРасширение по шаблону: \r\n!_____GEKSOGEN911@GMAIL.COM____.c300\r\nОбновление от 2 декабря 2016:\r\nEmail: DILINGER7900@GMAIL.COM\r\nРасширение по шаблону: \r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 5 of 18\n\n!_____DILINGER7900@GMAIL.COM_____.GRANIT\r\nОбновление от 16 декабря 2016:\r\nРасширение: !__recoverynow@india.com__.v8\r\nСм. статью V8Locker Ransomware \r\nОбновление от 26 декабря 2016:\r\nEmail: hamil8642@gmail.com\r\nРасширение по шаблону: \r\n!____hamil8642@gmail.com___.GRANIT\r\n=== 2017 ===\r\nОбновление от 20 марта 2017:\r\nРасширение: !===contact by email=== tokico767@gmail.com.adamant\r\nEmail: tokico767@gmail.com.adamant\r\nПример темы \u003e\u003e\r\nОписание этого варианта у Dr.Web \u003e\u003e\r\nРезультаты анализов: HA+VT\r\nОбновление: апрель 2017:\r\nEmail: edgar4000@protonmail.com\r\nПример темы \u003e\u003e\r\nРасширение по шаблону: \r\nedgar4000@protonmail.com____.granit\r\nEmail: edgar4000@protonmail.com\r\nОбновление от 5 июня 2017:\r\nРасширение: ________DILIGATMAIL@tutanota.com________.pgp\r\nСсылка на топик \u003e\u003e\r\nОбновление от 18 июня - 15 августа 2017:\r\nПост в Твиттере \u003e\u003e\r\nРасширение по шаблону: \r\n!______DILIGATMAIL7@tutanota.com______.OTR\r\nEmail: diligatmail7@tutanota.com\r\nРезультаты анализов: HA+VT\r\nОбновление от 23 августа 2017:\r\nРасширение по шаблону:  \r\n!______PIFAGORMAIL@tutanota.com______.SPG\r\nEmail: PIFAGORMAIL@tutanota.com\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 6 of 18\n\nПримеры зашифрованных файлов: \r\nАнкета.docx!______PIFAGORMAIL@tutanota.com______.SPG\r\nResume.docx!______PIFAGORMAIL@tutanota.com______.SPG\r\nОбновление от 12 сентября 2017:\r\nРасширение по шаблону: _______PIFAGORMAIL@tutanota.com_____.rar\r\nEmail: PIFAGORMAIL@tutanota.com\r\nОбновление от 20 сентября 2017:\r\nПост в Твиттере \u003e\u003e\r\nРасширение по шаблону: !_____INKASATOR@TUTAMAIL.COM____.ANTIDOT\r\nEmail: INKASATOR@TUTAMAIL.COM\r\nРезультаты анализов: VT\r\nОбновление от 13-20 сентября 2017:\r\nПост в Твиттере \u003e\u003e + Пост в Твиттере \u003e\u003e \r\nРасширение по шаблону: !-=solve a problem=-=grandums@gmail.com=-.PRIVAT66\r\nEmail: grandums@gmail.com\r\nРезультаты анализов: VT\r\nОбновление от 20 сентября 2017:\r\nПост в Твиттере \u003e\u003e\r\nРасширение по шаблону: !==solve a problem==stritinge@gmail.com===.SENRUS17\r\nEmail: stritinge@gmail.com\r\nСумма выкупа: 1 BTC\r\nРезультаты анализов: VT\r\nОбновление от 10 октября 2017:\r\nПост в Твиттере \u003e\u003e\r\nРасширение по шаблону: !_____FIDEL4000@TUTAMAIL.COM______.biz\r\nEmail: FIDEL4000@TUTAMAIL.COM\r\nРезультаты анализов: VT\r\nОбновление от 17 октября 2017:\r\nПост в Твиттере \u003e\u003e\r\nФайлы: dead rdp.exe, RarYBiHI.exe\r\nРасширение: !____________DESKRYPT@TUTAMAIL.COM________.rar\r\nEmail: DESKRYPT@TUTAMAIL.COM\r\nРезультаты анализов: VT\r\nОбновление от 27 ноября 2017:\r\n🎥 Video review\r\nПост в Твиттере  + Tweet \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 7 of 18\n\nРасширение: !____________ENIGMAPRO@TUTAMAIL.COM_______.PGP\r\nEmail: ENIGMAPRO@TUTAMAIL.COM \r\nЗаписка: info.txt\r\nФайлы: \u003crandom8\u003e.exe\r\nРезультаты анализов: VT + HA\r\n Скриншоты записки и файлов \u003e\u003e\r\nОбновление от 25 декабря 2017: \r\nРасширение: !___________ANCABLCITADEL@TUTAMAIL.COM__________.PGP\r\nEmail: ANCABLCITADEL@TUTAMAIL.COM\r\nФайл: \u003crandom\u003e.exe\r\nРезультаты анализов: VT\r\n=== 2018 ===\r\nОбновление от 25 января 2018:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !==SOLUTION OF THE PROBLEM==blacknord@tutanota.com==.Black_OFFserve!\r\nEmail: blacknord@tutanota.com\r\nРезультаты анализов: VT \r\nОбновление от 9 февраля 2018:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !decrfile@tutanota.com.crypo\r\nEmail: decrfile@tutanota.com\r\nРезультаты анализов: VT\r\nОбновление от 5 марта 2018:\r\nПост в Твиттере \u003e\u003e\r\nРасширение с пробелами: ! ,--, Revert Access ,--,  starbax@tutanota.com  ,--,.BlockBax_v3.2\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 8 of 18\n\nEmail: starbax@tutanota.com\r\nРезультаты анализов: VT\r\nОбновление от 21 мая 2018:\r\nПост в Твиттере  \u003e\u003e\r\nРасширение: !________INKOGNITO8000@TUTAMAIL.COM_________.SPG\r\nEmail: INKOGNITO8000@TUTAMAIL.COM\r\nРезультаты анализов: VT\r\nОбновление от 03 июня 2018:\r\nПост на форуме \u003e\u003e\r\nРасширение: !_______INKOGNITO7000@TUTAMAIL.COM_______.SPG\r\nEmail: INKOGNITO7000@TUTAMAIL.COM\r\nОбновление от 11 июня 2018:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !@#$%______PANAMA1@TUTAMAIL.com_____%$#@.mail\r\nEmail: PANAMA1@TUTAMAIL.com\r\nРезультаты анализов: VT\r\nОбновление от 14 июня 2018:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !@!@!@_contact mail___boroznsalyuda@gmail.com___!@!@.psd\r\nEmail: boroznsalyuda@gmail.com\r\nФайл: WbshKnkR.exe\r\nРезультаты анализов: VT\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 9 of 18\n\nТак выглядят зашифрованные файлы\r\nОбновление от 14 июня 2018:\r\nПост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nВидеообзор от CyberSecurity GrujaRS \u003e\u003e\r\nРасширение: !@#$_____ISKANDER@TUTAMAIL.COM_____$#@!.RAR\r\nСкриншот с зашифрованными файлами\r\nEmail: ISKANDER@TUTAMAIL.COM\r\nЗаписка: INFO.txt\r\nСодержание записки: \r\nДля связи с нами используйте почту\r\nISKANDER@TUTAMAIL.COM\r\nРезультаты анализов: VT\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 10 of 18\n\nТак выглядят зашифрованные файлы\r\nОбновление от 24 июня 2018:\r\nРасширение: !@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR\r\nEmail: INKASATOR1@TUTAMAIL.COM\r\nТопик на форуме \u003e\u003e\r\nОбновление от 25 июня 2018:\r\nПост в Твиттере \u003e\u003e\r\nЗашифрованные файлы без расширения.\r\nEmail: patagonoa92@tutanota.com\r\nЗаписка: Help.txt\r\n➤ Содержание записки:\r\nhelp mail\r\nPATAGONIA92@TUTANOTA.COM\r\nРезультаты анализов: VT\r\nОбновление от 9 июля 2018:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !@$#-unlock-email______zepro190@gmail.com______#$!...ES_HELPs\r\nEmail: zepro190@gmail.com\r\nРезультаты анализов: VT\r\nТак выглядят зашифрованные файлы\r\nОбновление от 19 июля 2018:\r\nРасширение: !@#$%______PANAMA1@TUTAMAIL.com_____%$#@.mail\r\nEmail: PANAMA1@TUTAMAIL.com\r\nТопик на форуме \u003e\u003e\r\nОбновление от 21 августа 2018:\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 11 of 18\n\nПост в Твиттере \u003e\u003e\r\nРасширение: \r\n!@#$_(decryp in the EMail)____nautilus369alarm@gmail.com____$#@..AlfaBlock\r\nEmail: nautilus369alarm@gmail.com\r\nРезультаты анализов: VT\r\nОбновление от 10 октября 2018:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !@#$%^\u0026-()_+.1C\r\nЗаписка: INFO.txt\r\nEmail: inkognitoman@tutamail.com, inkognitoman@firemail.cc\r\n➤ Содержание записки:\r\nДля связи с нами используйте почту\r\ninkognitoman@tutamail.com\r\ninkognitoman@firemail.cc\r\nРезультаты анализов: VT + HA + AR\r\nОбновление от 11 декабря 2018:\r\nТопик на форуме \u003e\u003e\r\nРасширение: !@#$%^\u0026-().1-C\r\nЗаписка: INFO.TXT\r\nEmail: PREDSEDATEL@TUTAMAIL.COM\r\n➤ Содержание записки:\r\nДля связи с нами используйте почту\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 12 of 18\n\nPREDSEDATEL@TUTAMAIL.COM\r\n=== 2019 ===\r\nОбновление от 4 февраля 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !ymayka-email@yahoo.com.cryptotes\r\nЗаписка: readme.txt\r\nРезультаты анализов: VT\r\nОбновление от 1 марта 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !_!email__ prusa@goat.si __!..PAYMAN\r\nЗаписка: open_payman.txt\r\nEmail: prusa@goat.si, prusa@tutanota.de\r\nРезультаты анализов: VT\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 13 of 18\n\n➤ Содержание записки:\r\nКАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ ИНСТРУКЦИЯ\r\nВнимание!!!\r\nМы действительно сожалеем сообщить вам, что все ваши файлы были зашифрованы\r\nнашим автоматическим программным обеспечением. Это стало возможным из-за плохой безопасности\r\nсервера.\r\nВнимание!!!\r\nПожалуйста не потревожьтесь, мы смогите помочь вам восстановить ваш сервер к оригиналу государство\r\nи расшифровать все ваши файлы, быстро и безопасно!\r\nИнформация!!!\r\nФайлы не сломаны!!!\r\nФайлы были зашифрованы с помощью алгоритмов шифрования AES-128+RSA-2048.\r\nНевозможно расшифровать файлы без уникального ключа дешифрования и специального программного\r\nобеспечения. Ваш уникальный ключ расшифровки хранится на нашем сервере. Для нашей безопасности\r\nвся информация о вашем сервере и ключе для расшифровки будет автоматически удалена через 7 дней! Вы\r\nбезвозвратно потеряете все свои данные!\r\n* Обратите внимание, что все попытки восстановить файлы самостоятельно или с помощью сторонних\r\nинструментов приведет только к безвозвратной потере ваших данных!\r\n* Обратите внимание, что восстановить файлы можно только с помощью уникального ключа\r\nрасшифровки, который хранится на нашей стороне. Если вы будете пользоваться помощью третьих лиц, то\r\nдобавите только посредника.\r\nКАК ВОССТАНОВИТЬ ФАЙЛЫ???\r\nПожалуйста, напишите нам на e-mail (пишите на английском или используйте профессионального\r\nпереводчика):айлы можно только с помощью уникального ключа расшифровки, который хранится на\r\nнашей стороне.\r\n1 email:  prusa@goat.si (Response time within 24 hours)\r\n2 email: prusa@tutanota.de (replacement mail in the event that no reply in 24 hours by email 1)\r\n---\r\nHOW TO RECOVER YOUR FILES INSTRUCTION\r\nATENTION!!!\r\nWe are realy sorry to inform you that  ALL YOUR FILES WERE ENCRYPTED\r\nby our automatic software. It became possible because of bad server security.  \r\nATENTION!!!\r\nPlease don't worry, we can help you to RESTORE your server to original\r\nstate and decrypt all your files quickly and safely!\r\nINFORMATION!!!\r\nFiles are not broken!!!\r\nFiles were encrypted with AES-128+RSA-2048 crypto algorithms.\r\nThere is no way to decrypt your files without unique decryption key and special software. Your unique decryption\r\nkey is securely stored on our server. For our safety, all information about your server and your decryption key will\r\nbe automaticaly DELETED AFTER 7 DAYS! You will irrevocably lose all your data!\r\n* Please note that all the attempts to recover your files by yourself or using third party tools will result only in\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 14 of 18\n\nirrevocable loss of your data!\r\n* Please note that you can recover files only with your unique decryption key, which stored on our side. If you\r\nwill use the help of third parties, you will only add a middleman.\r\nHOW TO RECOVER FILES???\r\nPlease write us to the e-mail (write on English or use professional translator):\r\n1 email:  prusa@goat.si (Response time within 24 hours)\r\n2 email: prusa@tutanota.de (replacement mail in the event that no reply in 24 hours by email 1)\r\nYou have to send your message on each of our 3 emails due to the fact that the message may not reach their\r\nintended recipient for a variety of reasons!\r\nWe recommed you to attach 3 encrypted files to your message. We will demonstrate that we can recover your\r\nfiles.\r\n*   Please note that files must not contain any valuable information and their total size must be less than 5Mb.\r\nOUR ADVICE!!!\r\nPlease be sure that we will find common languge. We will restore all the data and give you recommedations how\r\nto configure the protection of your server.\r\nRecovery time from 30 minutes to 10 hours, including local drives and connected devices.\r\nWe will definitely reach an agreement ;) !!!\r\nОбновление от 13 марта 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !__help2decode@mail.com__.a800\r\nЗаписка: recovery.instruction.txt\r\nEmail: help2decode@mail.com\r\n➤ Содержание записки:\r\nWhat happened to your files ?\r\nAll of your files were protected by a strong encryption with RSA-2048. More information about the encryption\r\nkeys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)\r\nWhat does this mean ?\r\nThis means that the structure and data within your files have been irrevocably changed, you will not be able to\r\nwork with them, read them or see them, it is the same thing as losing them forever, but with our help, you can\r\nrestore them.\r\nCONTACT US BY EMAIL: help2decode@mail.com\r\nРезультаты анализов: VT + AR\r\nОбновление от 15 марта 2019:\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 15 of 18\n\nПост в Твиттере \u003e\u003e\r\nРасширение: !@#$%^\u0026-().1c\r\nEmail: admin1c@airmail.cc, rezerved1c@tuta.io\r\nЗаписка: INFO.txt\r\n➤ Содержание записки:\r\nдля связи с нами используйте почту\r\nadmin1c@airmail.cc\r\nrezerved1c@tuta.io\r\nРезультаты анализов: VT + AR + IA + HA\r\nОбновление от 18 марта 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !!!! prusa@rape.lol !!!.prus\r\nЗаписка: informprus.txt\r\nТекст записки очень корявый. Содержание, как в тексте от 1 марта 2019. \r\nСкриншот оригинального текста записки\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 16 of 18\n\nПоказатель безграмотного текста на русском\r\n📌 Текст на русском языке написан так безграмотно и коряво, что вызывает сомнения, что его писали\r\nзнавшие русский язык. Конечно, это могли сделать и умышленно. \r\nEmail-1: prusa@rape.lol \r\nEmail-2: prusa@tutanota.de\r\nРезультаты анализов: VT + AR\r\nОбновление от 31 мая 2019: \r\nПост в Твиттере \u003e\u003e\r\nРасширение: !__prontos@cumallover.me__.bak\r\nEmail: prontos@cumallover.me\r\nРезультаты анализов: VT + VMR\r\nОбновление от 21 июня 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: !-information-...___ingibitor366@cumallover.me___....RT4BLOCK\r\nЗаписка: NEWS_INGiBiToR.txt\r\nEmail: ingibitor366@cumallover.me\r\nРезультаты анализов: VT + HA + VMR\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n ID Ransomware\r\n Topic on BC\r\n Topic on KC\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 17 of 18\n\nEtt fel inträffade.\r\nDet går inte att köra JavaScript.\r\n Thanks:\r\n Michael Gillespie\r\n Andrew Ivanov (author), mike 1, thyrex, GrujaRS\r\n *\r\n victims in the topics of support\r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html\r\nPage 18 of 18",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html"
	],
	"report_names": [
		"rotorcrypt-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434093,
	"ts_updated_at": 1775826759,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/59b4395368800f2b650e287144b45c9e9e6776be.pdf",
		"text": "https://archive.orkl.eu/59b4395368800f2b650e287144b45c9e9e6776be.txt",
		"img": "https://archive.orkl.eu/59b4395368800f2b650e287144b45c9e9e6776be.jpg"
	}
}