{
	"id": "d817c243-b830-40bc-9e54-a6a8adf002b7",
	"created_at": "2026-04-10T03:20:52.19263Z",
	"updated_at": "2026-04-10T03:22:18.532007Z",
	"deleted_at": null,
	"sha1_hash": "7ecbe22306345b3f329c9b8b3c73781f7bdbbe65",
	"title": "ThunderX, Ranzy Locker",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 665756,
	"plain_text": "ThunderX, Ranzy Locker\r\nArchived: 2026-04-10 03:18:38 UTC\r\nThunderX Ransomware\r\nRanzy Locker Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью Salsa20, а затем требует выкуп в #\r\nBTC, чтобы вернуть файлы. Оригинальное название: ThunderX. На файле написано: нет данных.\r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.32480, Trojan.Encoder.32485, Trojan.Encoder.32806, Trojan.Encoder.33314\r\nBitDefender -\u003e Trojan.GenericKD.34388567, Gen:Heur.Ransom.Imps.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.ODD, A Variant Of Win32/Filecoder.RanzyLocker.A\r\nMalwarebytes -\u003e Ransom.FileCryptor, Ransom.Ranzy\r\nMicrosoft -\u003e Trojan:Win32/Ymacco.AA64, Ransom:Win32/FileCrypter.MB!MTB\r\nRising -\u003e Trojan.Generic@ML.85 (RDML:***, Ransom.FileCrypter!8.11F42 (TFE*\r\nSymantec -\u003e ML.Attribute.HighConfidence, Downloader, Ransom.RanzyLocker\r\nTrendMicro -\u003e Trojan.Win32.WACATAC.THHAHBO, Ransom.Win32.THUNDERX.SMTH\r\n--- \r\n© Генеалогия: Ako ⇒ ThunderX \u003e Ranzy Locker \r\nЗнак \"⇒\" здесь означает переход на другую разработку. См. \"Генеалогия\".\r\nИзображение — логотип статьи\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 1 of 12\n\nК зашифрованным файлам добавляется случайное расширение: .\u003crandom\u003e\r\nПримеры таких расширений: \r\n.BuchX\r\n.SNwyR\r\n.cyekE\r\nВ обновленном варианте стало использоваться расширение: .tx_locked\r\n(т.е. \"ThunderX locked\"). \r\nПозже, вариант Ranzy Locker получил расширения .RNZ и .ranzy\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nРанняя активность этого крипто-вымогателя пришлась на конец августа - начало сентября 2020 г.\r\nОриентирован на англоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: readme.txt\r\nСодержание записки о выкупе (1-й вариант):\r\nAttention! Your network has been locked\r\nAll files on each host has been encrypted\r\nFor this server all encrypted files have extension: .SNwyR\r\n----\r\nYou cant open or work with encrypted files while it encrypted\r\nAll backups has been deleted or formatted, do not worry, we can help you restore your files\r\nWe use strongest encryption algoriths, the only way to return your files back - contact us and receive decryption\r\nprogram.\r\nDo not worry about guarantees - you can decrypt any 3 files FOR FREE as guarantee\r\n----\r\nContact us: deloneThunder@protonmail.com or ThunderBirdXeX@cock.li\r\nAnd attach in first letter this file or just send all info below (copy all info!):\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 2 of 12\n\nkey: eyJleHQiOiIuU053eVIiLCJrZXkiOiJKMElr*** [totally 1012 chars]\r\npersonal id: AX90F***\r\nПеревод записки на русский язык (1-й вариант):\r\nВнимание! Ваша сеть заблокирована\r\nВсе файлы на каждом хосте зашифрованы\r\nДля этого сервера все зашифрованные файлы имеют расширение: .SNwyR\r\n----\r\nВы не сможете открыть зашифрованные файлы или работать с ними, пока они зашифрованы\r\nВсе резервные копии удалены или отформатированы, не волнуйтесь, мы можем помочь вам вернуть ваши\r\nфайлы\r\nМы используем самые надежные алгоритмы шифрования, единственный способ вернуть ваши файлы -\r\nнаписать нам и получить программу дешифрования.\r\nНе беспокойтесь о гарантиях - вы можете БЕСПЛАТНО расшифровать любые 3 файла в качестве гарантии\r\n----\r\nПишите нам: deloneThunder@protonmail.com или ThunderBirdXeX@cock.li\r\nИ прикрепите в первом письме этот файл или просто отправьте всю инфу ниже (скопируйте всю инфу!):\r\nключ: eyJleHQiOiIuU053eVIiLCJrZXkiOiJKMElr *** [всего 1012 символов]\r\nперсональный id: AX90F ***\r\n---\r\nСравните ранний вариант с более новым вариантом записки. \r\nСодержание записки о выкупе (2-й вариант):\r\nAttention! Your network has been locked by ThunderX\r\nYour computers and server are encrypted\r\nFor this server all encrypted files have extension: .tx_locked\r\nFollow our instructions below and you will recover all your data\r\n----\r\nYou cant open or work with files while it encrypted - we use strongest encryption algorithm ***\r\nAll backups are deleted or formatted, do not worry, we can help you restore your files\r\nThe only way to return your files back - contact us and receive decryption program.\r\nDo not worry about guarantees - you can decrypt any 3 files FOR FREE as guarantee\r\n----\r\nContact us: deloneThunder@protonmail.com or ThunderBirdXeX@cock.li\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 3 of 12\n\nAnd attach in first letter this file or just send all info below (copy all info!):\r\nkey: ***\r\npersonal id: ********\r\nПеревод записки на русский язык (2-й вариант):\r\nВнимание! Ваша сеть заблокирована ThunderX\r\nВаши компьютеры и сервер зашифрованы\r\nДля этого сервера все зашифрованные файлы имеют расширение: .tx_locked.\r\nСледуйте нашим инструкциям ниже, и вы восстановите все свои данные\r\n----\r\nВы не можете открывать файлы или работать с ними, пока они зашифрованы - мы используем самый\r\nнадежный алгоритм шифрования ***\r\nВсе резервные копии удалены или отформатированы, не волнуйтесь, мы поможем вам восстановить ваши\r\nфайлы\r\nЕдинственный способ вернуть ваши файлы - связаться с нами и получить программу для дешифрования.\r\nНе беспокойтесь о гарантиях - вы можете БЕСПЛАТНО расшифровать любые 3 файла в качестве гарантии\r\n----\r\nПишите нам: deloneThunder@protonmail.com или ThunderBirdXeX@cock.li\r\nИ прикрепите в первом письме этот файл или просто отправьте всю инфу ниже (скопируйте всю инфу!):\r\nключ: ***\r\nперсональный id: ********\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Удаляет теневые копии файлов с помощью команды:\r\nwmic.exe SHADOWCOPY /nointeractive\r\nvssadmin.exe Delete Shadows /All /Quiet\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 4 of 12\n\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nСписок пропускаемых расширений:\r\n.dll, .exe, .ini, .lnk, .key, .rdp\r\nПропускаемые директории:\r\nAppData, boot, PerfLogs, PerfBoot, Intel, Microsoft, Windows, Tor Browser.\r\nФайлы, связанные с этим Ransomware:\r\nreadme.txt - название файла с требованием выкупа\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nLockerStub.pdb - название файла проекта\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\Gh0St\\Desktop\\ThunderX\\Release\\LockerStub.pdb\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: deloneThunder@protonmail.com, ThunderBirdXeX@cock.li\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\n🔻 Triage analysis \u003e\u003e\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e\r\n🐞 Intezer analysis \u003e\u003e  IA\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 5 of 12\n\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 7 сентября 2020:\r\nСообщение \u003e\u003e\r\nРасширение: .tx_locked\r\nЗаписка: readme.txt\r\nРезультаты анализов: VT + IA\r\nОбновление от 14 сентября 2020:\r\nСообщение \u003e\u003e\r\nРасширение: .tx_locked\r\nЗаписка: readme.txt\r\nEmail: mbhelp@protonmail.com\r\nakodesh@tutanota.com\r\nРезультаты анализов: VT + VMR + IA\r\nОбновление от 29 сентября 2020:\r\nСамоназвание в записке: Ranzy Locker\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 6 of 12\n\nНазвание файла проекта: C:\\Users\\Gh0St\\Desktop\\ThunderX\\Release\\LockerStub.pdb\r\nРасширение: .RNZ\r\nЗаписка: readme.txt\r\nEmail: suppfilesencrypt@protonmail.com, filesencryptedsupp@protonmail.com\r\nРезультаты анализов: VT + IA  + HA\r\nОбновление от 5 октября 2020:\r\nВымогатели подготовили замену. \r\nНовый образец вредоного ПО: VT + IA\r\nДата создания: 5 октября 2020. \r\nДата загрузки на анализ: 21 октября 2020. \r\nНа скриншоте от Intezer видно, что в этом образце есть гены обоих версий. \r\n  \r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 7 of 12\n\nОбновление от 16 октября 2020:\r\nРасширение: .ranzy\r\nЗаписка: readme.txt\r\nСайт: hxxxs://ranzylock.hk/***\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 8 of 12\n\nТеперь официально соообщается:\r\n1) этот шифровальщик получил новое название Ranzy Locker;\r\n2) Группа, управляющая Ranzy Locker, запустила сайт \"Ranzy Leak\" для публикации украденных данных.\r\nОбновление от 16 октября 2020: \r\nВерсия: Ranzy Locker 1.1\r\nРасширение: .ranzy\r\nТеперь используются 2 сайта в сети Tor: один вместо email для общения с жертвами, другой назвается\r\n\"Ranzy Leak\", для публикации украденных данных. Кстати этот домен ранее использовался вымогателями\r\nAko Ransomware.\r\nОбновление от 28 октября 2020:\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 9 of 12\n\nРасширение: .ranzy\r\nURL: hxxx://ranzylock.hk/O19QN6QR\r\nTor-URL: xxxx://a6a5b4ppnkrio3nikyutfexbc6y5dc6kfhj3jr32kdwbryr2lempkuyd.onion/\r\n \r\nАнализы: VT + IA  / VT\r\nВариант от 22 февраля 2021: \r\nРасширение: .RANZYLOCKED\r\nЗаписка: readme.txt\r\nEmail: kazinbekdutch@tutanota.com\r\nkazinbekdutch@cock.li\r\nkazinbekdutch@protonmail.com\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 10 of 12\n\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33314\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.RanzyLocker.A\r\nMalwarebytes -\u003e Ransom.Ranzy\r\nMicrosoft -\u003e Ransom:Win32/FileCrypter.MB!MTB\r\nQihoo-360 -\u003e Win32/Ransom.Generic.HwoCdjkA\r\nRising -\u003e Ransom.FileCrypter!8.11F42 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Malware.Win32.Gencirc.11b0ebcf\r\nTrendMicro -\u003e Ransom.Win32.RANZYLOCKER.SMTH\r\nВариант от 12 сентября 2021: \r\nРасширение: .lock\r\nЗаписка: readme.txt\r\nEmail: off_the_grid@tutanota.com, wee_wee@tutanota.com\r\nРезультаты анализов: VT + AR\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 11 of 12\n\nRead to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as ThunderX)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n S!Ri, Michael Gillespie\r\n Andrew Ivanov (author)\r\n Tesorion\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html\r\nPage 12 of 12",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/08/thunderx-ransomware.html"
	],
	"report_names": [
		"thunderx-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775791252,
	"ts_updated_at": 1775791338,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/7ecbe22306345b3f329c9b8b3c73781f7bdbbe65.pdf",
		"text": "https://archive.orkl.eu/7ecbe22306345b3f329c9b8b3c73781f7bdbbe65.txt",
		"img": "https://archive.orkl.eu/7ecbe22306345b3f329c9b8b3c73781f7bdbbe65.jpg"
	}
}