{
	"id": "7b4f22f5-335f-4828-a7d5-213ea5e2d2ef",
	"created_at": "2026-04-06T01:29:04.883932Z",
	"updated_at": "2026-04-10T03:20:42.233086Z",
	"deleted_at": null,
	"sha1_hash": "7e233132855bf9ec444fb130e42a945f16b823a9",
	"title": "MRAC",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 243124,
	"plain_text": "MRAC\r\nArchived: 2026-04-06 00:29:52 UTC\r\nMRAC Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов RSA-2048,\r\nAES-256 (режим CBC), PKCS5 (CryptGenKey для каждого файла + Rand IV для каждого файла), а затем\r\nтребует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле\r\nнаписано: xxx.exe.\r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.34811\r\nBitDefender -\u003e Trojan.Ransom.GenericKD.47668693\r\nESET-NOD32 -\u003e Win32/Filecoder.OJQ\r\nKaspersky -\u003e HEUR:Trojan.Win32.Stosek.gen\r\nMalwarebytes -\u003e Ransom.FileCryptor\r\nMicrosoft -\u003e Trojan:Win32/Tiggre!rfn\r\nRising -\u003e Trojan.Generic@ML.84 (RDML:h+04v***\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTrendMicro -\u003e TROJ_GEN.R002C0PLJ21\r\n---\r\n© Генеалогия: ??? \u003e\u003e MRAC\r\nСайт \"ID Ransomware\" идентифицирует это как MRAC. \r\nИнформация для идентификации\r\nАктивность этого крипто-вымогателя была в середине декабря 2021 г. Ориентирован на англоязычных\r\nпользователей, может распространяться по всему миру.\r\nК зашифрованным файлам добавляется расширение: .MRAC\r\nЗаписка с требованием выкупа называется: MRACReadMe.html\r\nhttps://id-ransomware.blogspot.com/2021/12/mrac-ransomware.html\r\nPage 1 of 7\n\nСодержание записки о выкупе:\r\nMMRAC\r\nYour information has been stolen and encrypted. All information may be in the public domain\r\nContact us in any of the presented ways:\r\nEmail: veronikstreem@protonmail.com\r\nInstall Psi+ app https://sourceforge.net/projects/psiplus/files\r\nAfter installing Psi+ you need to log in :\r\nLogin : dbhjftdg2322345gg@jabb.im\r\nPassword: NM2Br5suBCup453ttvpKert456\r\nThere will be one added contact to which you can write.\r\nNothing personal, just business\r\nПеревод записки на русский язык:\r\nMMRAC\r\nВаша информация была украдена и зашифрована. Вся информация может быть в открытом доступе\r\nСвяжитесь с нами любым из представленных способов:\r\nПочта: veronikstreem@protonmail.com\r\nУстановите приложение Psi + https://sourceforge.net/projects/psiplus/files\r\nhttps://id-ransomware.blogspot.com/2021/12/mrac-ransomware.html\r\nPage 2 of 7\n\nПосле установки Psi + вам надо войти:\r\nЛогин: dbhjftdg2322345gg@jabb.im\r\nПароль: NM2Br5suBCup453ttvpKert456\r\nБудет добавлен один контакт, которому вы можете писать.\r\nНичего личного, просто бизнес\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nМогут быть различия с первым вариантом. \r\nТехнические детали + IOC\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе\r\nзагрузки. \r\n➤ Завершает работу антивирусов, системные процессы и ряд служб, работа которых может помешать\r\nшифрованию файлов. \r\nAcronis VSS Provider\r\nEnterprise Client Service\r\nSophos Agent\r\nSophos AutoUpdate Service\r\nSophos Clean Service\r\nhttps://id-ransomware.blogspot.com/2021/12/mrac-ransomware.html\r\nPage 3 of 7\n\nSophos Device Control Service\r\nSophos File Scanner Service\r\nSophos Health Service\r\nSophos MCS Agent\r\nSophos MCS Client\r\nSophos Message Router\r\nSophos SafeStore Service\r\nSophos Protection System Service\r\nSophos Web Control Service\r\nSQLsafe\r\nSQLsafe Filter Service\r\nSymantec System Recovery\r\nVeeam Backup Service Data Catalog\r\nAcronisAgent\r\nAcrSch2Svc\r\nAntivirus\r\nARSM\r\nBackupExecAgentAccelerator\r\nBackupExecAgentBrowser\r\nBackupExecDeviceMediaService \r\nBackupExecJobEngine\r\nBackupExecManagementService\r\nBackupExecRPCService\r\nBackupExecVSSProvider\r\nbedbg\r\nDCAgent\r\nhttps://id-ransomware.blogspot.com/2021/12/mrac-ransomware.html\r\nPage 4 of 7\n\nEPSecurityService\r\n➤ После шифрования файлов самоудаляется с помощью bat-файла. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nMRACReadMe.html - название файла с требованием выкупа;\r\nxxx.exe - название вредоносного файла; \r\nMRAC.pdb - файл проекта вымогателей. \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\user\\Desktop\\Full\\App\\MRAC\\ENC\\MRAC\\Release\\MRAC.pdb\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\n=MRAC=\r\nhttps://id-ransomware.blogspot.com/2021/12/mrac-ransomware.html\r\nPage 5 of 7\n\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: veronikstreem@protonmail.com\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов: \r\nIOC: VT, HA, IA, TG, AR, VMR, JSB\r\nMD5: b99ce03482978a861c883bb772be3b25\r\nSHA-1: 84ecf8f8b0de2dbb3df4b99766a84143e49eaa00\r\nSHA-256: 768c09ad691d4af27f50934df5879166c08c0b18abf2c1a1c8561e8589a07c91\r\nVhash: 035056655d155560d3z22z68!z\r\nImphash: 000dffe70534733b98630577afdf90d9 \r\nСтепень распространённости: низкая.\r\nИнформация дополняется. Присылайте образцы.\r\nhttps://id-ransomware.blogspot.com/2021/12/mrac-ransomware.html\r\nPage 6 of 7\n\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nЕщё не было обновлений этого варианта.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + myMessage\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n Finch, Jiří Vinopal\r\n Andrew Ivanov (article author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2021/12/mrac-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2021/12/mrac-ransomware.html\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2021/12/mrac-ransomware.html"
	],
	"report_names": [
		"mrac-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775438944,
	"ts_updated_at": 1775791242,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/7e233132855bf9ec444fb130e42a945f16b823a9.pdf",
		"text": "https://archive.orkl.eu/7e233132855bf9ec444fb130e42a945f16b823a9.txt",
		"img": "https://archive.orkl.eu/7e233132855bf9ec444fb130e42a945f16b823a9.jpg"
	}
}