{
	"id": "4b65eaae-3fe2-46a5-ac8d-8db81081ee24",
	"created_at": "2026-04-10T03:21:24.277656Z",
	"updated_at": "2026-04-10T03:22:17.300007Z",
	"deleted_at": null,
	"sha1_hash": "8614808519d45e048f093ed867a5e703909b92de",
	"title": "RansomEXX",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 441707,
	"plain_text": "RansomEXX\r\nArchived: 2026-04-10 02:43:39 UTC\r\nRansomEXX Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные компаний, организаций и бизнес-пользователей с помощью AES-256 (режим ECB) + RSA-4096 (для шифрования AES-ключа), а затем требует выкуп в # BTC, чтобы вернуть\r\nфайлы. Оригинальное название: ransom.exx (указано в коде). На файле написано: mspusf.exe или что\r\nпопало. Использует открытую библиотеку mbed TLS (tls.mbed.org). Для Windows и Linux систем. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.32006, Trojan.Encoder.32587\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OCN\r\nKaspersky -\u003e Trojan-Ransom.Win32.Encoder.jdq\r\nMalwarebytes -\u003e Ransom.RansomEXX\r\nMicrosoft -\u003e Ransom:Win32/FileCoder.TX!MSR\r\nRising -\u003e Ransom.Encoder!8.FFD4 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Win32.Trojan.Raas.Auto\r\nTrendMicro -\u003e Ransom_Encoder.R002C0PFE20\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: Defray777 (Defray 2018-2020) + mix \u003e\u003e RansomEXX\r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 1 of 11\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение по шаблону: \r\n.\u003ccompany_name\u003e\r\n.\u003cabbreviated_company_name\u003e\r\n.\u003corg_name\u003e \r\n.\u003cdomain_name\u003e\r\nили что-то около того. \r\nВ любом случае это будет связано с названием той организации или компании, против которой это\r\nнаправлено. \r\nПримеры:\r\n.txd0t\r\n.dbe\r\n.0s\r\nЭтимология названия: \r\nВидимо от английских слов \"ransom\" (выкуп) и \"extension\" (расширение).  Внимание! Новые\r\nрасширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с\r\nпервоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на май-июнь 2020 г. \r\nТогда вымогатели атаковали Техасскую судебную систему (TxCourts - сайт www.txcourts.gov) и Техасский\r\nтранспортный департамент (TxDOT - сайт www.txdot.gov). Ориентирован на англоязычных пользователей,\r\nчто не мешает распространять его по всему миру. Исследователи сообщили об этом только в июне 2020 г. \r\nЗаписка с требованием выкупа для Техасского транспортного департамента называлась:\r\n!TXDOT_READ_ME!.txt\r\nТаким образом шаблон записки можно записать так: \r\n!XXXXX_READ_ME!.txt\r\n!\u003cabbreviated_company_name\u003e_READ_ME!.txt\r\nЗдесь XXXXX будет сокращенным названием атакованной компании (аббревиатурой) с необходимым\r\nколичеством заглавных букв. \r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 2 of 11\n\nСодержание записки о выкупе:\r\nGreetings, Texas Department of Transportation!\r\nRead this message CAREFULLY and contact someone from IT department..\r\nYour files are securely ENCRYPTED.\r\nNo third party decryption software EXISTS.\r\nMODIFICATION or RENAMING encrypted files may cause decryption failure.\r\nYou can send us an encrypted file (not greater than 400KB) and we will decrypt it FOR FREE, so you have no\r\ndoubts in possibility to restore all Files\r\nFrom all aFFected systems ANY TIME.\r\nEncrypted File SHOULD NOT contain sensitive inFormation (technical, backups, databases, large documents).\r\nThe rest oF data will be available aFter the PAYMENT.\r\ninfrastructure rebuild will cost you MUCH more.\r\nContact us ONLY if you officially represent the whole affected network.\r\nThe ONLY attachments we accept are non archived encrypted files For test decryption.\r\nSpeak ENGLISH when contacting us.\r\nMail us: ***@protonmail.com\r\nWe kindly ask you not to use GMAIL, YAHOO or LIVE to contact us.\r\nThe PRICE depends on how quickly you do it. \r\nПеревод записки на русский язык:\r\nПриветствую, Техасский департамент транспорта!\r\nПрочитайте это сообщение ВНИМАТЕЛЬНО и свяжитесь с кем-то из ИТ-отдела.\r\nВаши файлы надежно зашифрованы.\r\nНикакой сторонней программы для расшифровки не существует.\r\nИЗМЕНЕНИЕ или ПЕРЕИМЕНОВАНИЕ зашифрованных файлов может вызвать сбой расшифровки.\r\nВы можете отправить нам зашифрованный файл (не более 400 КБ), и мы расшифруем его\r\nБЕСПЛАТНО, чтобы у вас не было сомнений в возможности восстановить все файлы из всех затронутых\r\nсистем в ЛЮБОЕ ВРЕМЯ.\r\nЗашифрованный файл НЕ ДОЛЖЕН содержать конфиденциальную информацию (техническую информацию,\r\nрезервные копии, базы данных, большие документы).\r\nОстальные данные будут доступны после ОПЛАТЫ.\r\nПерестройка инфраструктуры обойдется вам НАМНОГО больше.\r\nСвяжитесь с нами ТОЛЬКО если вы официально представляете всю затронутую сеть.\r\nЕДИНСТВЕННЫЕ вложения, которые мы принимаем, являются неархивированными зашифрованными\r\nфайлами для тестовой расшифровки.\r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 3 of 11\n\nГоворите по-английски при обращении к нам.\r\nПишите нам: ***@protonmail.com\r\nМы просим вас не использовать GMAIL, YAHOO или LIVE для связи с нами.\r\nЦЕНА зависит от того, как быстро вы это сделаете.\r\nТехнические детали\r\nИспользуется в целевых атаках на беизнес-пользователей и уязвимые корпоративные сети, централизованные\r\nсистемы хранения данных, в том числе работающие под управлением Linux. Может распространяться путём\r\nвзлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений,\r\nобманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений,\r\nперепакованных и заражённых инсталляторов. См. также \"Основные способы распространения\r\nкриптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя\r\nбы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Удаляет теневые копии файлов, бэкапы системы, манипулирует размером теневого хранилища, отключает\r\nфункции восстановления и исправления Windows на этапе загрузки, очищает журналы Windows (Application,\r\nSystem, Setup, Security), используя команды:\r\ncipher /w %s\r\nwbadmin.exe delete catalog -quiet\r\nbcdedit.exe /set {default} recoveryenabled no\r\nbcdedit.exe /set {default} bootstatuspolicy ignoreallfailures\r\nschtasks.exe /Change /TN \"\\Microsoft\\Windows\\SystemRestore\\SR\" /disable\r\nwevtutil.exe cl Application\r\nwevtutil.exe cl System\r\nwevtutil.exe cl Setup\r\nwevtutil.exe cl Security\r\nwevtutil.exe sl Security /e:false\r\nfsutil.exe usn deletejournal /D C:\r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 4 of 11\n\nОтключает восстановление системы через Планировщик заданий: \r\n\"C:\\Windows\\System32\\schtasks.exe\" /Change /TN \"\\Microsoft\\Windows\\SystemRestore\\SR\" /disable\r\nЗавершает 289 процессов, связанных с защитным ПО, серверами баз данных, программным обеспечением\r\nMSP, инструментами удаленного доступа и почтовыми серверами. \r\nПодробности о шифровании: \r\nШифрование выполняется с помощью открытой библиотеки mbed TLS. После запуска генерируется 256-\r\nбитный ключ, который используется для шифрования всех файлов, применяя блочный шифр AES-256 в\r\nрежиме ECB. Каждую секунду генерируется новый AES-ключ, т.е. разные файлы шифруются разными AES-ключами. Каждый AES-ключ шифруется при помощи публичного RSA-4096-ключа, встроенного в код\r\nшифровальщика и прикрепляется к каждому зашифрованному файлу. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nСписок пропускаемых расширений: \r\n.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .icl, .icns, .ico, .iso, .ics, .lnk, .idx, .mod, .mpa, .msc, .msp,\r\n.msstyles, .msu, .nomedia, .ocx, .prf, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .url, .mui,\r\nПропускает следующие файлы, системные и загрузочные директории: \r\n!TXDOT_READ_ME!.txt\r\nProgramFiles\r\nProgramW6432\r\niconcache.db\r\nthumbs.db\r\nntldr\r\nbootsect.bak\r\ndebug.txt\r\nboot.ini\r\ndesktop.ini\r\nautorun.inf\r\nntuser.dat\r\nntdetect.com\r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 5 of 11\n\nbootfont.bin\r\n\\windows\\system32\\\r\n\\windows\\syswow64\\\r\n\\windows\\system\\\r\n\\windows\\winsxs\\\r\n\\appdata\\roaming\\\r\n\\appdata\\local\\\r\n\\appdata\\locallow\\\r\n\\all users\\microsoft\\\r\n\\inetpub\\logs\\\r\n\\boot\\\r\n\\perflogs\\\r\n\\programdata\\\r\n\\drivers\\\r\nи другие...\r\nПропускает три папки, которые ему, вероятно, нужны:\r\ncrypt_detect\r\ncryptolocker\r\nransomware\r\nФайлы, связанные с этим Ransomware:\r\n!TXDOT_READ_ME!.txt - название файла с требованием выкупа\r\nmspusf.exe - исполняемый файл\r\ncipher.exe - инструмент для стирания свободного места на диске, чтобы с помощью программ для\r\nвосстановления данных нельзя было ничего вернуть; \r\n4cae449450c07b7aa74314173c7b00d409eabfe22b86859f3b3acedd66010458.exe - случайное название\r\nвредоносного файла\r\nELF-файл\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\Admin\\AppData\\Local\\Temp\\4cae449450c07b7aa74314173c7b00d409eabfe22b86859f3b3acedd66010458.exe\r\n➤ Информация о названии, текст записки и другие строки из кода.\r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 6 of 11\n\nЗаписи реестра, связанные с этим Ransomware:\r\nМодифицирует следующие ключи реестра: \r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SystemRestore\\DisableConfig\r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SystemRestore\\DisableSR\r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\SystemRestore\\DisableConfig\r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\SystemRestore\\DisableSR\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\n{5DC7D478-7E59-A370-11D2-2BF9CFE472D4}\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: txdot911@protonmail.com\r\nДля каждой атаки и каждой новой жертвы email будет другой. \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\n🔻 Triage analysis \u003e\u003e\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 7 of 11\n\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 30 июля 2020: \r\nРасширение: .K0N1M1N0\r\nЗаписка: !!KONICA_MINOLTA_README!!.txt\r\nОбновление от 2-3 сентября 2020:\r\nПост в Твиттере \u003e\u003e\r\nЕще один образец. \r\nРезультаты анализов: VT\r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 8 of 11\n\nОбновление от 27 октября 2020: \r\nРасширение: .tjpe911\r\nЗаписка: !NEWS_FOR_TJPE! \r\nПострадала судебная система бразильского штата Пернамбуку (Tribunal de Justiça do Estado de Pernambuco -\r\nTJPE).\r\nEmail (вероятно): tjpe911@protonmail.com\r\nОбновление от 6 ноября 2020:\r\nВымогатели создали и стали использовать сайт публикации украденных данных. \r\nОбновление от 8 декабря 2020: \r\nРасширение: .3mbr43r\r\nЗаписка: !NEWS_FOR_EMBRAER!.TXT\r\nEmail (вероятно): embraer@protonmail.com\r\nКонтакт: ссылка на Tor-сайт.\r\n=== 2021 ===\r\nОбновление от 5 февраля 2021:\r\nРасширение: .MNH\r\nПострадавшая компания: Французская страховая компания Mutuelle Nationale des Hospitaliers (MNH)\r\nСообщение вымогателей на Tor-сайте. \r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 9 of 11\n\nСообщение от 6 августа 2021: \r\nТайваньский производитель материнских плат Gigabyte подтвердил, что подвергся кибератаке банды\r\nвымогателей RansomEXX, которая угрожает опубликовать 112 ГБ украденных данных, если не будет уплачен\r\nвыкуп. Было затронуто небольшое количество серверов. \r\nСообщение от 30 сентября 2021: \r\nКомпания Profero выпустили дешифровщик для файлов, котрый исправляет ошибкув дешифровании файлов,\r\nкоторую имеет оригинальный дешифровщик от вымогателей. Расшифровать файлов смогут только те, кто\r\nкупил ключ дешифрования у вымогателей. \r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + Tweet + myTweet\r\n ID Ransomware (ID: 1st as RansomEXX, 2nd as Defray777 / RansomEXX)\r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 10 of 11\n\nWrite-up, Write-up, Write-up, Topic of Support\r\n Write-up about PyXie \u003e\u003e Write-up by Kaspersky (November 6, 2020) \u003e\u003e\r\n Thanks:\r\n MalwareHunterTeam, Vitali Kremez, Michael Gillespie, Bart\r\n Andrew Ivanov (author)\r\n Akhmed Taia\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html\r\nPage 11 of 11",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/06/ransomexx-ransomware.html"
	],
	"report_names": [
		"ransomexx-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775791284,
	"ts_updated_at": 1775791337,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/8614808519d45e048f093ed867a5e703909b92de.pdf",
		"text": "https://archive.orkl.eu/8614808519d45e048f093ed867a5e703909b92de.txt",
		"img": "https://archive.orkl.eu/8614808519d45e048f093ed867a5e703909b92de.jpg"
	}
}