{
	"id": "f278f989-dbb4-4663-86f9-f39070ea9c36",
	"created_at": "2026-04-06T00:18:39.53386Z",
	"updated_at": "2026-04-10T13:12:14.266728Z",
	"deleted_at": null,
	"sha1_hash": "6ad4ae7693d5da7ebdfedbda4780692c6d1a3934",
	"title": "MetadataBin",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 305051,
	"plain_text": "MetadataBin\r\nArchived: 2026-04-05 19:05:56 UTC\r\nMetadataBin Ransomware\r\nRansomware32 Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в\r\n$1000, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано:\r\nransomware.exe, ransomware32.exe. Написан на языке Rust.\r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.32937, Trojan.Encoder.32940\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.44206852\r\nALYac -\u003e Trojan.Ransom.Filecoder\r\nAvira (no cloud) -\u003e TR/FileCoder.uxgkl\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OED\r\nKaspersky -\u003e Trojan.Win32.Udochka.y, Trojan-Ransom.Win32.Encoder.klv\r\nMalwarebytes -\u003e ***\r\nRising -\u003e Ransom.Agent!1.CDE5 (CLASSIC)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTrendMicro -\u003e TROJ_GEN.R002H09JP20\r\n---\r\n© Генеалогия: ??? \u003e\u003e MetadataBin\r\nhttps://id-ransomware.blogspot.com/2020/10/metadata-bin-ransomware.html\r\nPage 1 of 5\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: _encrypted Внимание! Новые расширения,\r\nemail и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с\r\nпервоначальным вариантом. \r\nОбразец этого крипто-вымогателя был найден в конце октября 2020 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: README_encrypted.txt\r\nСодержание записки о выкупе: \r\nATTENTION!!! ALL YOUR FILES HAVE BEEN ENCRYPTED\r\nYOU HAVE TO PAY $1000 DOLLARS TO UNLOCK YOUR FILES.\r\nPLEASE CONTACT \u003cinsert onion site here\u003e.onion using Tor Browser.\r\nMake sure to provide the metadata.bin file that you can find in your user\r\nfolder.\r\nПеревод записки на русский язык:\r\nВНИМАНИЕ!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ\r\nВЫ ДОЛЖНЫ ЗАПЛАТИТЬ $1000 ДЛЯ РАЗБЛОКИРОВКИ ФАЙЛОВ.\r\nКОНТАКТ НА \u003cвставьте сюда onion-сайт\u003e.onion, используя Tor Browser.\r\nУбедитесь, что передали файл metadata.bin, который можно найти в папке пользователя.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nhttps://id-ransomware.blogspot.com/2020/10/metadata-bin-ransomware.html\r\nPage 2 of 5\n\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nПосле доработки это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных,\r\nфотографии, музыка, видео, файлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nREADME_encrypted.txt - название файла с требованием выкупа\r\nransomware.exe, ransomware.bin - названия вредоносного файла\r\nransomware32.exe - название вредоносного файла\r\nmetadata.bin - специальный файл\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: - \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\n🔻 Triage analysis \u003e\u003e\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e  VT\u003e\r\nhttps://id-ransomware.blogspot.com/2020/10/metadata-bin-ransomware.html\r\nPage 3 of 5\n\n🐞 Intezer analysis \u003e\u003e IA\u003e  IA\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 12 октября 2021:\r\nРасширение: _encrypted\r\nЗаписка: README_encrypted.txt\r\nhttps://id-ransomware.blogspot.com/2020/10/metadata-bin-ransomware.html\r\nPage 4 of 5\n\nTor-URL: hxxx://t2tqvp4pctcr7vxhgz5yd5x4ino5tw7jzs3whbntxirhp32djhi7q3id.onion\r\nФайл: hptestu.exe\r\nРезультаты анализов: VT + TG + IA\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + Tweet + myTweet\r\n ID Ransomware (ID as ***)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n xiaopao, 0x4143, Karsten Hahn\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/10/metadata-bin-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/10/metadata-bin-ransomware.html\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/10/metadata-bin-ransomware.html"
	],
	"report_names": [
		"metadata-bin-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434719,
	"ts_updated_at": 1775826734,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/6ad4ae7693d5da7ebdfedbda4780692c6d1a3934.pdf",
		"text": "https://archive.orkl.eu/6ad4ae7693d5da7ebdfedbda4780692c6d1a3934.txt",
		"img": "https://archive.orkl.eu/6ad4ae7693d5da7ebdfedbda4780692c6d1a3934.jpg"
	}
}