{ "id": "8f2e2ed6-5a47-40b0-9564-0c68b2d28d2c", "created_at": "2026-04-06T00:08:10.259604Z", "updated_at": "2026-04-10T13:11:33.094577Z", "deleted_at": null, "sha1_hash": "5e5caaaf2ca19e3ef973f2e491f75d586937d021", "title": "ChernoLocker", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 351422, "plain_text": "ChernoLocker\r\nArchived: 2026-04-05 13:32:09 UTC\r\nChernoLocker Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в #\r\nBTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Adobe\r\nAcrobat Activation Patch.exe, Mobdro For PC.exe или что-то еще. \r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.30403\r\nBitDefender -\u003e Trojan.GenericKD.32833226\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nMalwarebytes -\u003e Ransom.FileCryptor\r\nMicrosoft -\u003e Ransom:Win32/Genasom\r\n© Генеалогия: выясняется, явное родство с кем-то не доказано.\r\nИзображение из экрана вымогателя — логотип статьи\r\nК зашифрованным файлам добавляется одно из следующих расширений: \r\n(.CHERNOLOCKER)\r\n(.chernolocker)\r\n(.filelockergprotonmail.ch)\r\n.(filelocker£protonmail.ch)\r\nhttps://id-ransomware.blogspot.com/2019/12/chernolocker-ransomware.html\r\nPage 1 of 6\n\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало середину декабря 2019 г. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗапиской с требованием выкупа выступает изображение, загружаемое онлайн: \r\nСодержание записки о выкупе:\r\nFILES IN YOUR COMPUTER HAVE BEEN LOCKED!\r\nYOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN LOCKED\r\nWITH THE STRONGEST ENCRYPTION AND UNIQUE KEY GENERATED FOR THIS COMPUTER.\r\nPRIVATE DECRYPTION KEY STORED STORED ON A SECRET SERVER AND NOBODY\r\nWILL DECRYPT YOUR FILES UNTIL YOU PAY AND OBTAIN THE PRIVATE DECRYPTION KEY.\r\nTHE SERVER WILL ELIMINATE THE KEY AFTER 14 DAYS.\r\nPURCHASE THE DECRYPTION KEY, NOW\r\nYOU CAN CONTACT ME VIA FILELOCKER@PROTONMAIL.CH\r\nПеревод записки на русский язык:\r\nФАЙЛЫ НА ВАШЕМ КОМПЬЮТЕРЕ ЗАБЛОКИРОВАНЫ!\r\nВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ ЗАБЛОКИРОВАНЫ\r\nС САМЫМ НАДЕЖНЫМ ШИФРОВАНИЕМ И УНИКАЛЬНЫМ КЛЮЧОМ, СГЕНЕРИРОВАННЫМ\r\nhttps://id-ransomware.blogspot.com/2019/12/chernolocker-ransomware.html\r\nPage 2 of 6\n\nДЛЯ ЭТОГО КОМПЬЮТЕРА.\r\nЗАКРЫТЫЙ КЛЮЧ ДЕШИФРОВАНИЯ ХРАНИТСЯ НА СЕКРЕТНОМ СЕРВЕРЕ И НИКТО\r\nНЕ РАСШИФРУЕТ ВАШИ ФАЙЛЫ, ПОКА ВЫ НЕ ЗАПЛАТИТЕ И НЕ ПОЛУЧИТЕ ЗАКРЫТЫЙ КЛЮЧ\r\nДЕШИФРОВАНИЯ.\r\nСЕРВЕР УДАЛИТ КЛЮЧ ЧЕРЕЗ 14 ДНЕЙ.\r\nКУПИТЕ КЛЮЧ РАСШИФРОВКИ, СЕЙЧАС\r\nВЫ МОЖЕТЕ НАПИСАТЬ МНЕ НА FILELOCKER@PROTONMAIL.CH\r\nДля того, чтобы это отобразить, используется скрипт, скомпилированный на Python, который отображает\r\nокно сообщения после шифрования и открывает заготовленное онлайн-изображение в браузере.\r\nСодержание этого сообщения:\r\nYOUR FILES HAVE BEEN ENCRYPTED\r\nAll Your Files have now been encrypted with the strongest encryption\r\nYou need to purchase the encryption key otherwise you won't recover your files\r\nRead the Browser tab on ways to recover your files\r\nMake Sure you dont loose this Email as you it will be loosing it will be fatal \r\nWrite it in a notepad and keep it safe \r\nEmail: filelocker@protonmail.ch\r\nПеревод на русский язык:\r\nВаши файлы были зашифрованы\r\nВсе ваши файлы зашифрованы с самым сильным шифрованием\r\nВам надо купить ключ шифрования, иначе не сможете вернуть файлы\r\nПрочтите в Браузере о способах возврата ваших файлов\r\nПостарайтесь не потерять этот Email, т.к. эта потеря будет фатальной\r\nЗапишите это в блокнот и сохраните\r\nEmail: filelocker@protonmail.ch\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nhttps://id-ransomware.blogspot.com/2019/12/chernolocker-ransomware.html\r\nPage 3 of 6\n\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nAdobe Acrobat Activation Patch.exe\r\nMobdro For PC.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nOnline Image: xxxxs://platinumdatasolutionsltd.co.ke/wp-content/uploads/2018/11/landing-screenshot-img-9-\r\n768.jpg\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: filelocker@protonmail.ch\r\nBTC:\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2019/12/chernolocker-ransomware.html\r\nPage 4 of 6\n\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 22 января 2020:\r\nТопик на форуме \u003e\u003e\r\nРасширение: .(filelocker@protonmail.ch)\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nВнимание!\r\nДля зашифрованных файлов есть дешифровщик\r\nСкачать Emsisoft Decrypter для дешифровки \u003e\u003e\r\nПрочтите подробную инструкцию перед запуском.\r\nhttps://id-ransomware.blogspot.com/2019/12/chernolocker-ransomware.html\r\nPage 5 of 6\n\nRead to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as ChernoLocker)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n S!Ri, Michael Gillespie\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2019/12/chernolocker-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2019/12/chernolocker-ransomware.html\r\nPage 6 of 6", "extraction_quality": 1, "language": "RU", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://id-ransomware.blogspot.com/2019/12/chernolocker-ransomware.html" ], "report_names": [ "chernolocker-ransomware.html" ], "threat_actors": [ { "id": "aa73cd6a-868c-4ae4-a5b2-7cb2c5ad1e9d", "created_at": "2022-10-25T16:07:24.139848Z", "updated_at": "2026-04-10T02:00:04.878798Z", "deleted_at": null, "main_name": "Safe", "aliases": [], "source_name": "ETDA:Safe", "tools": [ "DebugView", "LZ77", "OpenDoc", "SafeDisk", "TypeConfig", "UPXShell", "UsbDoc", "UsbExe" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434090, "ts_updated_at": 1775826693, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/5e5caaaf2ca19e3ef973f2e491f75d586937d021.pdf", "text": "https://archive.orkl.eu/5e5caaaf2ca19e3ef973f2e491f75d586937d021.txt", "img": "https://archive.orkl.eu/5e5caaaf2ca19e3ef973f2e491f75d586937d021.jpg" } }