{
	"id": "448ccccc-8ea5-42fb-a6fb-148eec874c6f",
	"created_at": "2026-04-06T00:15:30.873681Z",
	"updated_at": "2026-04-10T03:21:02.188363Z",
	"deleted_at": null,
	"sha1_hash": "9499f93849cf28c5ab6d9a23c464684b123a3d8e",
	"title": "MedusaLocker",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1617338,
	"plain_text": "MedusaLocker\r\nArchived: 2026-04-05 17:14:23 UTC\r\nMedusaLocker Ransomware\r\nMedusaLocker NextGen\r\nMedusaLocker 'cut-to-use', 'cut-to-confuse'\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует\r\nнаписать на email вымогателей, чтобы заплатить выкуп, получить программу дешифровки и вернуть\r\nфайлы. Оригинальное название: в записке не указано. На файле проекта написано: MedusaLocker.pdb. В\r\nреестре создается раздел \"Medusa\". \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.DownLoader30.26418, Trojan.DownLoader30.27698, Trojan.Encoder.30026\r\nBitDefender -\u003e Trojan.GenericKD.32594787, Trojan.GenericKD.41882000\r\nMalwarebytes -\u003e Ransom.Medusa\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.MedusaLocker.C\r\nGData -\u003e Win32.Trojan-Ransom.Filecoder.BO\r\nMicrosoft -\u003e Trojan:Win32/Bluteal!rfn\r\nSymantec -\u003e Trojan.Gen.2, Trojan.Gen.MBT\r\nTrendMicro -\u003e Ransom.Win32.MEDUSALOCKER.A\r\nKaspersky -\u003e Trojan.Win32.DelShad.azp, Trojan-Ransom.Win32.Medusa.g\r\n---\r\n© Генеалогия: MedusaLocker \u003e\u003e MedusaLocker v.2, v.3, v.4...\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 1 of 31\n\nИзображение — только логотип статьи\r\nК зашифрованным файлам добавляется расширение .encrypted\r\nПо другим данным известны варианты со следующими расширениями: \r\n.bomber\r\n.boroff\r\n.breakingbad\r\n.locker16\r\n.newlock\r\n.nlocker\r\n.skynet\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nПервые образцы были обнаружены в конце сентября, но активность этого крипто-вымогателя пришлась на\r\nначало октября 2019 г. Штамп времени создания файла: 5 октября 2019. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру. \r\nЗаписка с требованием выкупа называется: \r\nHOW_TO_RECOVER_DATA.html\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 2 of 31\n\nПервый вариант записки\r\nВторой вариант записки (другие email-адреса)\r\nСодержание записки о выкупе:\r\nAll your data are encrypted!\r\nWhat happened? \r\nYour files are encrypted, and currently unavailable. \r\nYou can check it: all files on you computer has new expansion.\r\nBy the way, everything is possible to recover (restore), but you need to buy a unique decryptor. \r\nOtherwise, you never cant return your data.\r\nFor purchasing a decryptor contact us by email: \r\nFolieloi@protonmail.com\r\nIf you will get no answer within 24 hours contact us by our alternate emails: \r\nCtorsenoria@tutanota.com\r\nWhat guarantees? \r\nIts just a business. If we do not do our work and liabilities - nobody will not cooperate with us.\r\nTo verify the possibility of the recovery of your files we can decrypted 1 file for free. \r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 3 of 31\n\nAttach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:\r\n[id]\r\nAttention!\r\n- Attempts of change files by yourself will result in a loose of data. \r\n- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.\r\n- Use any third party software for restoring your data or antivirus solutions will result in a loose of data. \r\n- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.\r\n- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause\r\njust we have the private key.\r\nПеревод записки на русский язык:\r\nВсе ваши данные зашифрованы!\r\nЧто случилось?\r\nВаши файлы зашифрованы и теперь недоступны.\r\nВы можете проверить это: все файлы на вашем компьютере имеют новое расширение.\r\nКстати, все можно вернуть (восстановить), но нужно купить уникальный расшифровщик.\r\nИначе вы никогда не сможете вернуть свои данные.\r\nДля покупки дешифратора свяжитесь с нами по email:\r\nsambolero@tutanoa.com\r\nЕсли вы не получите ответ за 24 часа, свяжитесь с нами по email:\r\nrightcheck@cock.li\r\nКакие гарантии?\r\nЭто просто бизнес. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами\r\nсотрудничать.\r\nДля проверки возможности восстановления ваших файлов мы можем бесплатно расшифровать 1 файл.\r\nПрикрепите 1 файл к письму (не более 10 Мб). Укажите свой личный ID в письме:\r\n[id]\r\nВнимание!\r\n- Попытки самостоятельно изменить файлы приведут к потере данных.\r\n- Наш email может быть заблокирован с течением времени. Напишите сейчас, потеря связи с нами\r\nприведет к потере данных.\r\n- Использование любой сторонней программы для восстановления ваших данных или антивирусных\r\nрешений приведет к потере данных.\r\n- Расшифровщики других пользователей уникальны и не будут соответствовать вашим файлам, и их\r\nиспользование приведет к потере данных.\r\n- Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое\r\nвремя и данные, потому что только у нас есть закрытый ключ.\r\nТехнические детали\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 4 of 31\n\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Использует технологию обхода консоли учетных записей (Bypass UAC) с помощью интерфейса\r\nCMSTPLUA COM. Схема из твита Vitali Kremez. \r\n➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе\r\nзагрузки командами:\r\nvssadmin.exe Delete Shadows /All /Quiet\r\nwmic.exe SHADOWCOPY /nointeractive\r\nbcdedit.exe /set {default} recoveryenabled No\r\nbcdedit.exe /set {default} bootstatuspolicy ignoreallfailures\r\nwbadmin DELETE SYSTEMSTATEBACKUP\r\nwbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest\r\n➤ Стремится завершить следующие процессы, чтобы убедиться, что все файлы данных закрыты и ничто\r\nне мешает шифрованию файлов:\r\nwrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, sqlservr, sqlagent, sqladhlp, Culserver, RTVscan,\r\nsqlbrowser, SQLADHLP, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv,\r\ntomcat6, zhudongfangyu, SQLADHLP, vmware-usbarbitator64, vmware-converter, dbsrv12,\r\ndbeng8, wxServer.exe, wxServerView, sqlservr.exe, sqlmangr.exe, RAgui.exe, supervise.exe, Culture.exe,\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 5 of 31\n\nRTVscan.exe, Defwatch.exe, sqlbrowser.exe, winword.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe,\r\nQBCFMonitorService.exe, axlbridge.exe, QBIDPService.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe,\r\ntomcat6.exe, java.exe, 360se.exe, 360doctor.exe, wdswfsafe.exe, fdlauncher.exe, fdhost.exe, GDscan.exe,\r\nZhuDongFangYu.exe\r\nВдобавок к этому использует функционал Windows Restart Manager (менеджер перезагрузки), чтобы\r\nполучить доступ к наибольшему количеству файлов и зашифровать их. \r\n➤ MedusaLocker создаёт новый ключ в реестре для хранения своего имени файла, но не пути к нему. Это\r\nзначение сохраняется в: HKEY_CURRENT_USER\\SOFTWARE\\MDSLK\\Self. Неизвестно насколько это\r\nважно для работы вредоносной программы, но MDSLK — это похоже на сокращение от MeDuSa LocKer.\r\nПодобные ключи использовались и другими шифровальщиками для определения того, была ли машина\r\nинфицирована ранее другой версией шифровальщика. \r\nПодробности о шифровании:\r\nПри шифровании файлов будет использовано шифрование AES для шифрования каждого файла, а затем\r\nключ AES будет зашифрован открытым ключом RSA-2048, включенным в исполняемый файл Ransomware.\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nМногие популярные форматы. \r\nЭто могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии,\r\nмузыка, видео, файлы образов, архивы и пр.\r\nПри шифровании пропускаются файлы с расширениями: \r\n.exe, .dll, .sys, .ini, .lnk, .rdp, .encrypted, .bomber, .boroff, .breakingbad, .locker16, .newlock, .nlocker, .skynet\r\nПри шифровании пропускаются следующие папки с файлами:\r\nUSERPROFILE\r\nPROGRAMFILES(x86)\r\nProgramData\r\n\\AppData\r\nWINDIR\r\n\\Application Data\r\n\\Program Files\r\n\\Users\\All Users\r\n\\Windows\r\n\\intel\r\n\\nvidia\r\nПосле шифрования MedusaLocker \"спит\" 60 секунд, затем снова начинает сканирование дисков ПК на\r\nналичие незашифрованных и новых файлов. \r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 6 of 31\n\nВырезки из кода с описанными параметрами\r\nФайлы, связанные с этим Ransomware:\r\nHOW_TO_RECOVER_DATA.html\r\nReadme.html\r\nsvchostt.exe\r\nsvchostt\r\nl.bat\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nMedusaLocker.pdb\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\n%UserProfile%\\AppData\\Roaming\\svchostt.exe\r\nC:\\Windows\\System32\\Tasks\\svchostt\r\nОригинальное название проекта:\r\nC:\\Users\\Gh0St\\Desktop\\MedusaLockerInfo\\MedusaLockerProject\\MedusaLocker\\Release\\MedusaLocker.pdb\r\nЗаписи реестра, связанные с этим Ransomware:\r\nHKCU\\SOFTWARE\\Medusa\r\nHKCU\\SOFTWARE\\Medusa\\Name   s\r\nHKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\ \"EnableLinkedConnections\" = 1\r\nHKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\EnableLUA   0\r\nHKEY_CURRENT_USER\\SOFTWARE\\MDSLK\\Self\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 7 of 31\n\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail-1: Folieloi@protonmail.com, Ctorsenoria@tutanota.com\r\nEmail-2: sambolero@tutanoa.com, rightcheck@cock.li \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e VT\u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e  AR\u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 16 октября 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .skynet\r\nЗаписка: Readme.html\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 8 of 31\n\nВариант от 19 октября 2019:\r\nПост в Твиттере \u003e\u003e\r\nСписок части функционала. \r\nВариант от 22 октября 2019:\r\nТопик на форуме \u003e\u003e\r\nРасширение: .encrypted\r\nЗаписка: HOW_TO_RECOVER_DATA.html\r\nEmail: crypt2020@outlook.com, cryptt2020@protonmail.com\r\n➤ Содержание записки:\r\nYour files are encrypted!\r\nWhat happened?\r\nYour files are encrypted, and currently unavailable.\r\nYou can check it: all files on you computer has new expansion.\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 9 of 31\n\nBy the way, everything is possible to recover (restore), but you need to buy a unique decryptor.\r\nOtherwise, you never cant return your data.\r\nFor purchasing a decryptor contact us by email:\r\ncrypt2020@outlook.com\r\nIf you will get no answer within 24 hours contact us by our alternate emails:\r\ncryptt2020@protonmail.com\r\nWhat guarantees?\r\nIts just a business. If we do not do our work and liabilities - nobody will not cooperate with us.\r\nTo verify the possibility of the recovery of your files we can decrypted 1 file for free.\r\nAttach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:\r\n180DEF11957324D2AA7F08C25D3BA34663DCD79CAA***. [1024 знака и точка]\r\nAttention!\r\n? Attempts of change files by yourself will result in a loose of data.\r\n? Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.\r\n? Use any third party software for restoring your data or antivirus solutions will result in a loose of data.\r\n? Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.\r\n? If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data,\r\ncause just we have the private key.\r\nПредположительное обновление от 28 октября 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .decrypme\r\nЗаписка: HOW_TO_OPEN_FILES.html\r\nEmail: decoder83540@protonmail.com, decoder83540@cock.li\r\n➤ Содержание записки: \r\nAll your data are encrypted!\r\nWhat happened?\r\nYour files are encrypted, and currently unavailable.\r\nYou can check it: all files on you computer has new expansion.\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 10 of 31\n\nBy the way, everything is possible to recover (restore), but you need to buy a unique decryptor.\r\nOtherwise, you never cant return your data.\r\nFor purchasing a decryptor contact us by email:\r\nmrromber@cock.li\r\nIf you will get no answer within 24 hours contact us by our alternate emails:\r\nmrromber@tutanota.com\r\nWhat guarantees?\r\nIts just a business. If we do not do our work and liabilities - nobody will not cooperate with us.\r\nTo verify the possibility of the recovery of your files we can decrypted 1 file for free.\r\nAttach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:\r\n494BE5A953057552DF16891CD4EB271C1356F888C8C98FA80785*** [всего 1024 знака]\r\nAttention!\r\n- Attempts of change files by yourself will result in a loose of data.\r\n- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.\r\n- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.\r\n- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.\r\n- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause\r\njust we have the private key.\r\nВариант от 5-10 ноября 2019: \r\nПост на форуме \u003e\u003e\r\nРасширение: .ReadTheInstructions\r\nEmail: fartcool@protonmail.ch, bestcool@keemail.me\r\nЗаписка: INSTRUCTIONS.html\r\n➤ Содержание записки: \r\nAll your data are encrypted!\r\nWhat happened?\r\nYour files are encrypted, and currently unavailable.\r\nYou can check it: all files on you computer has new expansion.\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 11 of 31\n\nBy the way, everything is possible to recover (restore), but you need to buy a unique decryptor.\r\nOtherwise, you never cant return your data.\r\nFor purchasing a decryptor contact us by email:\r\nfartcool@protonmail.ch\r\nIf you will get no answer within 24 hours contact us by our alternate emails:\r\nbestcool@keemail.me\r\nWhat guarantees?\r\nIts just a business. If we do not do our work and liabilities - nobody will not cooperate with us.\r\nTo verify the possibility of the recovery of your files we can decrypted 1 file for free.\r\nAttach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:\r\nD86B576A7CE932E7ADC143B9480C931EBC9AF8625CEF5*** [всего 1024 знака]\r\nAttention!\r\n- Attempts of change files by yourself will result in a loose of data.\r\n- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.\r\n- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.\r\n- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.\r\n- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause\r\njust we have the private key.\r\nВариант от 11-12 ноября 2019: \r\nПост в Твиттере \u003e\u003e\r\nРасширение: .ReadTheInstructions\r\nEmail: rdp_unlock@outlook.com, rdpunlock@cock.li\r\nЗаписка: INSTRUCTIONS.html\r\nРезультаты анализов: VT\r\nВариант от 14 ноября 2019: \r\nПост на форуме \u003e\u003e\r\nРасширение: .ReadTheInstructions\r\nEmail: sypress@tutanota.com, sypresss@protonmail.com\r\nЗаписка: INSTRUCTIONS.html\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 12 of 31\n\n➤ Содержание записки: \r\nAll your data are encrypted!\r\nWhat happened?\r\nYour files are encrypted, and currently unavailable.\r\nYou can check it: all files on you computer has new expansion.\r\nBy the way, everything is possible to recover (restore), but you need to buy a unique decryptor.\r\nOtherwise, you never cant return your data.\r\nFor purchasing a decryptor contact us by email:\r\nsypress@tutanota.com\r\nIf you will get no answer within 24 hours contact us by our alternate emails:\r\nsypresss@protonmail.com\r\nWhat guarantees?\r\nIts just a business. If we do not do our work and liabilities - nobody will not cooperate with us.\r\nTo verify the possibility of the recovery of your files we can decrypted 1 file for free.\r\nAttach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:\r\nA7EA72ACBFB3EE64E58408796B07B7DF746BD57984B *** [всего 1024 знака]\r\nAttention!\r\n- Attempts of change files by yourself will result in a loose of data.\r\n- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.\r\n- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.\r\n- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.\r\n- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause\r\njust we have the private key.\r\nВариант от 15 ноября 2019:\r\nПост в Твиттере \u003e\u003e\r\nUAC bypass using CMSTPLUA COM\r\nИспользует обход UAC с помощью интерфейса CMSTPLUA COM \r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 13 of 31\n\nВариант от 20 ноября 2019: \r\nТопик на форуме \u003e\u003e\r\nРасширение: .ReadTheInstructions\r\nEmail: crypt2020@outlook.com, cryptt2020@protonmail.com\r\nЗаписка: INSTRUCTIONS.html\r\nРезультаты анализов: VT\r\nВариант от 25 декабря 2019:\r\nТопик на форуме \u003e\u003e\r\nРасширение: .READINSTRUCTIONS\r\nЗаписка: RECOVER_INSTRUCTIONS.html \r\nEmail: 777decoder777@protonmail.com, 777decoder777@tfwno.gf\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 14 of 31\n\n➤ Содержание записки: \r\nAll your data are encrypted!\r\nWhat happened?\r\nYour files are encrypted, and currently unavailable.\r\nYou can check it: all files on you computer has new expansion.\r\nBy the way, everything is possible to recover (restore), but you need to buy a unique decryptor.\r\nOtherwise, you never cant return your data.\r\nFor purchasing a decryptor contact us by email:\r\n777decoder777@protonmail.com\r\nIf you will get no answer within 24 hours contact us by our alternate emails:\r\n777decoder777@tfwno.gf\r\nWhat guarantees?\r\nIts just a business. If we do not do our work and liabilities - nobody will not cooperate with us.\r\nTo verify the possibility of the recovery of your files we can decrypted 1 file for free.\r\nAttach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:\r\n041786A32071FD1D5BF472AE737A831C3F0EEABE36F5D5998DB4E8F377*** [всего 1024 знака]\r\nAttention!\r\n- Attempts of change files by yourself will result in a loose of data.\r\n- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.\r\n- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.\r\n- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.\r\n- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause\r\njust we have the private key.\r\nВариант от 25 декабря 2019:\r\nРасширение: .ReadInstructions\r\nЗаписка: Recovery_Instructions.html\r\nEmail: AndrewMiller-1974@protonmail.com\r\nBrianSalgado@protonmail.com\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 15 of 31\n\n➤ Содержание записки: \r\nYOUR PERSONAL ID:\r\n457CF0616667D9882D479D1F01E094187F20A5B6D0AA88A505 [всего 1024 знаков]\r\n/!\\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\\\r\nALL YOUR IMPORTANT FILES HAVE BEEN ENCRYPTED!\r\nYOUR FILES ARE SAFE! JUST MODIFIED ONLY. (RSA+AES)\r\nANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE\r\nWILL PERMENANTLY DESTROY YOUR FILE.\r\nDO NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES.\r\nNO SOFTWARE AVAILABLE ON INTERNET CAN HELP YOU. WE ONLY HAVE\r\nSOLUTION TO YOUR PROBLEM.\r\nWE GATHERED HIGHLY CONFIDENTIAL/PERSORNAL DATA. THESE DATA\r\nARE CURRENTLY STORED ON A PRIVATE SERVER. THIS SERVER WILL BE\r\nIMMEDIATELY DESTROYED AFTER YOUR PAYMENT. WE ONLY SEEK MONEY\r\nAND DO NOT WANT TO DAMAGE YOUR REPUTATION. IF YOU DECIDE TO\r\nNOT PAY, WE WILL RELEASE THIS DATA TO PUBLIC OR RE-SELLER.\r\nYOU WILL CAN SEND US 2-3 NON-IMPORTANT FILES AND WE WILL\r\nDECRYPT IT FOR FREE TO PROVE WE ARE ABLE TO GIVE YOUR FILES\r\nBACK.\r\nCONTACT US FOR PRICE (BITCOIN) AND GET DECRYPTION SOFTWARE.\r\nAndrewMiller-1974@protonmail.com\r\nBrianSalgado@protonmail.com\r\nMAKE CONTACT AS SOON AS POSSIBLE. YOUR DECRYPTION KEY IS ONLY STORED\r\nTEMPORARLY. IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.\r\nWE GATHERED HIGHLY CONFIDENTIAL/PERSORNAL DATA. THESE DATA ARE CURRENTLY\r\nSTORED ON A PRIVATE SERVER. THIS SERVER WILL BE IMMEDIATELY DESTROYED AFTER\r\nYOUR PAYMENT. WE ONLY SEEK MONEY AND DO NOT WANT TO DAMAGE YOUR REPUTATION.\r\nIF YOU DECIDE TO NOT PAY, WE WILL RELEASE THIS DATA TO PUBLIC OR RE-SELLER.\r\n=== 2020 ===\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 16 of 31\n\nВариант от 15 января 2020:\r\nПост в Твиттере \u003e\u003e\r\nВидимо тот же самый вариант от 25 декабря 2019. \r\nВариант от 18 февраля 2020: \r\nПост в Твиттере \u003e\u003e\r\nРасширение: .networkmaze\r\nЗаписка: READINSTRUCTION.html\r\nEmail: berstife@gmail.com, best@desharonline.top\r\nРезультаты анализов: VT + VMR\r\n \r\nВариант от 22 февраля 2020: \r\nПост в Твиттере \u003e\u003e\r\nРасширение: .ReadInstructions\r\nЗаписка: Recovery_Instructions.html\r\nEmail: malieholtan@protonmail.com, emergency911service@outlook.com\r\nРезультаты анализов: VT + IA + VMR\r\n \r\nВариант от 7 апреля 2020:\r\nРасширение: .deadfiles\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 17 of 31\n\nВариант от 8 апреля 2020:\r\nРасширение: .abstergo\r\nЗаписка: HOW_TO_RECOVER_DATA.html\r\nEmail: mrromber@tutanota.com, mrromber@cock.lii\r\n➤ Содержание записки: \r\nYOUR PERSONAL ID:\r\nB1B801EF63CAAEC7233CE2C770EFAA59139F2E829BF8665DC6B44EC3 [всего 1024 знаков]\r\n/!\\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\\\r\nALL YOUR IMPORTANT FILES HAVE BEEN ENCRYPTED!\r\nYOUR FILES ARE SAFE! JUST MODIFIED ONLY. (RSA+AES)\r\nANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE\r\nWILL PERMENANTLY DESTROY YOUR FILE.\r\nDO NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES.\r\nNO SOFTWARE AVAILABLE ON INTERNET CAN HELP YOU. WE ONLY HAVE\r\nSOLUTION TO YOUR PROBLEM.\r\nWE GATHERED HIGHLY CONFIDENTIAL/PERSORNAL DATA. THESE DATA\r\nARE CURRENTLY STORED ON A PRIVATE SERVER. THIS SERVER WILL BE\r\nIMMEDIATELY DESTROYED AFTER YOUR PAYMENT. WE ONLY SEEK MONEY\r\nAND DO NOT WANT TO DAMAGE YOUR REPUTATION. IF YOU DECIDE TO\r\nNOT PAY, WE WILL RELEASE THIS DATA TO PUBLIC OR RE-SELLER.\r\nYOU WILL CAN SEND US 2-3 NON-IMPORTANT FILES AND WE WILL\r\nDECRYPT IT FOR FREE TO PROVE WE ARE ABLE TO GIVE YOUR FILES\r\nBACK.\r\nCONTACT US FOR PRICE (BITCOIN) AND GET DECRYPTION SOFTWARE.\r\nmrromber@tutanota.com\r\nmrromber@cock.lii\r\nMAKE CONTACT AS SOON AS POSSIBLE. YOUR DECRYPTION KEY IS ONLY STORED\r\nTEMPORARLY. IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 18 of 31\n\nВариант от 4 мая 2020:\r\nТопик на форуме \u003e\u003e\r\nРасширение: .himynameisransom\r\nЗаписка: HOW_TO_RECOVER_DATA.html\r\nEmail: decoderforyou@protonmail.com\r\ndecoderforyou@cock.li\r\nВариант от 18 мая 2020:\r\nПост на форуме \u003e\u003e\r\nРасширение: .ReadInstructions\r\nЗаписка: Recovery_Instructions.html\r\nEmail: supp0rtdecrypti0n@protonmail.com\r\n➤ Содержание записки: \r\nYOUR PERSONAL ID:\r\nD59994A63BC1F4AEF34D04BA61832D50DF5E42049366B8667 [всего 1024 знаков]\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 19 of 31\n\n/!\\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\\\r\nAll your important files have been encrypted!\r\nYour files are safe! Only modified. (RSA+AES)\r\nANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE\r\nWILL PERMANENTLY CORRUPT IT.\r\nDO NOT MODIFY ENCRYPTED FILES.\r\nDO NOT RENAME ENCRYPTED FILES.\r\nNo software available on internet can help you. We are the only ones able to\r\nsolve your problem.\r\nWe gathered highly confidential/personal data. These data are currently stored on\r\na private server. This server will be immediately destroyed after your payment.\r\nIf you decide to not pay, we will release your data to public or re-seller.\r\nSo you can expect your data to be publicly available in the near future..\r\nWe only seek money and our goal is not to damage your reputation or prevent\r\nyour business from running.\r\nYou will can send us 2-3 non-important files and we will decrypt it for free\r\nto prove we are able to give your files back.\r\nContact us for price and get decryption software.\r\n{{URL}}\r\n* Note that this server is available via Tor browser only\r\nFollow the instructions to open the link:\r\n1. Type the addres \"https://www.torproject.org\" in your Internet browser. It opens the Tor site.\r\n2. Press \"Download Tor\", then press \"Download Tor Browser Bundle\", install and run it.\r\n3. Now you have Tor browser. In the Tor Browser open \"{{URL}}\".\r\n4. Start a chat and follow the further instructions.\r\nIf you can not use the above link, use the email:\r\nsupp0rtdecrypti0n@protonmail.com\r\nMake contact as soon as possible. Your private key (decryption key)\r\nis only stored temporarily.\r\nIF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.\r\nВариант от 30 мая 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .VinDizelPux\r\nЗаписка: Recovery_Instructions.html\r\nEmail: dec_helper@outlook.com, dec_helper@excic.com\r\nРезультаты анализов: VT + HA + VMR + IA + AR\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 20 of 31\n\nВариант от 12 июня 2020 или раньше: \r\nПост в Твиттере \u003e\u003e\r\nРасширение: .EG\r\nЗаписка: Recovery_Instructions.html\r\nEmail: dec_helper@dremno.com, dec_helper@excic.com\r\nСумма: 1 BTC\r\nBTC: 1BkmiGWPLum8MzusqZsq6Tn7v4oUjqPLjC\r\nTor-URL: hxxx://gvlay6u4g53rxdi5.onion/***\r\n \r\nВариант от 29 июня 2020: \r\nПост в Твиттере \u003e\u003e\r\nРасширение: .support\r\nЗаписка: Recovery_Instructions.html\r\nEmail: dec_restore@protonmail.com, decrestore@cock.li\r\nРезультаты анализов: VT + AR\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 21 of 31\n\nВариант от 29 июля 2020: \r\nПост в Твиттере \u003e\u003e\r\nРасширение: .deadfiles\r\nЗаписка: HOW_TO_RECOVER_DATA.html\r\nEmail: rescuerr@protonmail.com, rescuer@cock.li\r\nВариант от 8 сентября 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .networkmaze\r\nЗаписка: HOW_TO_RECOVER_DATA.html\r\nВариант от 12 сентября 2020 или раньше:\r\nТопик на форуме \u003e\u003e\r\nРасширение: .spartanvladimir60@mail.ru\r\nEmail: spartanvladimir60@mail.ru\r\nСумма выкупа: $10000\r\nВариант от 28 сентября 2020: \r\nРасширенеие: .lr\r\nEmail: bitcoin@mobtouches.com\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 22 of 31\n\nbitcoin@sitesoutheat.com\r\nРезультаты анализов: VT + IA + AR\r\n \r\nВариант от 14 декабря 2020 или раньше:\r\nРасширение: .inprocess\r\nРасширение: .ReadInstructions\r\nЗаписка: Recovery_Instructions.txt\r\nВариант от 27 января 2021: \r\nРасширение: .divsouth\r\nEmail: support@welchallym.com, support@bigweatherg.com\r\nВариант от 31 января 2021: \r\nРасширение: .ReadInstructions\r\nЗаписка: Recovery_Instructions.txt\r\nEmail: felleskatalogen@protonmail.com\r\nРезультаты анализов: VT + HA + TG\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 23 of 31\n\n➤ Содержание записки: \r\n## YOUR NETWORK HAS BEEN COMPROMISED ## \r\n------------------------------------------\r\nAll your important files have been encrypted!\r\n-------------------------------------------------\r\nYour files are safe! Only modified.\r\nANY ATTEMPT TO RESTORE A FILE WITH THIRD-PARTY SOFTWARE WILL PERMANENTLY\r\nCORRUPT IT.\r\nDO NOT MODIFY ENCRYPTED FILES.\r\nDO NOT RENAME ENCRYPTED FILES.\r\nNo software available on internet can help you. We are the only ones able to solve your problem.\r\nWe gathered data from different segment of your network. These data are currently stored on a private server and\r\nwill be immediately destroyed after your payment.\r\nIf you decide to not pay, we will keep your data stored and contact press or re-seller or expose it on our partner's\r\nwebsite.\r\nWe only seek money and do not want to damage your reputation or prevent your business from running.\r\nIf you take wise choice to pay, all of this will be solved very soon and smoothly.\r\nYou will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files\r\nback.\r\n---------------------------------------------------------\r\nContact us for price.\r\nfelleskatalogen@protonmail.com\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 24 of 31\n\n----------------------------------------------------------\r\nMake contact as soon as possible.\r\nIf you don't contact us within 72 hours, price will be higher.\r\nВариант от 12-13 февраля 2021: \r\nРасширение: .lockfilesCO\r\nРасширение: .lockfilesKR\r\nEmail: helper@atacdi.com, helper@buildingwin.com\r\nRecovery_Instructions.html\r\nРезультаты анализов: VT + VT\r\nВариант от 6 марта 2021 (предположительное родство): \r\nРасширение: .1btc\r\nШифрование: AES-256 + RSA-2048 + ChaCha\r\nЗаписка: !!!HOW_TO_DECRYPT!!!.mht\r\nСписок файлов: README_LOCK.TXT\r\nEmail: cmd@jitjat.org, dirhelp@keemail.me\r\nРезультаты анализов: VT + TG\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 25 of 31\n\nВариант от 28 апреля 2021:\r\nЗаписка: Recovery_Instructions.html\r\nhelper2@aveuva.com, helper2@biehes.com\r\nTor-URL: hxxx://gvlay6u4g53rxdi5.onion/*\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 26 of 31\n\nВариант от 30 мая 2021: \r\nРасширение: .Readinstruction\r\nEmail: ithelpconcilium@tutanota.com, nicolasmarvinlor@outlook.com\r\nВариант от 7 декабря 2021: \r\nРасшиение: .lockfile\r\nЗаписка: HOW_TO_RECOVER_DATA.html \r\nEmail: rapid@aaathats3as.com, rpd@keemail.me\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 27 of 31\n\n=== 2022 ===\r\nВариант от 14 апреля 2022: \r\nРасширение: .stopfiles\r\nЗаписка: Recovery_Instructions.html \r\nРезультаты анализов: VT + IA\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.35226\r\nBitDefender -\u003e Generic.Ransom.MedusaLocker.*\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.MedusaLocker\r\nRising -\u003e Ransom.MedusaLocker!1.C21A (CLOUD)\r\nTrendMicro -\u003e Ransom.Win32.MEDUSALOCKER.SMTH\r\nВариант от 8 июня 2022: \r\nРасширение: .EMPg296LCK\r\nЗаписка: !_HOW_RECOVERY_FILES_!.HTML\r\nРезультаты анализа: VT + IA\r\n=== 2022-2023 ===\r\nВарианты в FarAttack Ransomware\r\nС конца (ноябрь, декабрь 2022 или раньше), варианты с MedusaLocker payload (т.н. MedusaLocker3) стали\r\nиспользоваться в атаках Far Attack Ransomware.\r\n=== 2024 ===\r\nВариант от 5 марта 2024:\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 28 of 31\n\nРасширение: .duralock05 \r\nЗаписка: HOW_TO_BACK_FILES.html\r\nEmail: assistant01@backup.capital, assistant01@decodezone.net\r\nIOC: VT: MD5: 8648ba384a53b8509b642381a743f255\r\nОбнаружения: \r\nDrWeb - Trojan.Encoder.38448\r\nESET-NOD32 - A Variant Of Win32/Filecoder.MedusaLocker.\r\nMalwarebytes - Ransom.Medusa\r\nMicrosoft - Ransom:Win32/MedusaLocker.A!MTB\r\nTrendMicro - Ransom.Win32.MEDUSALOCKER.SMTH\r\nВариант от 5 марта 2024:\r\nРасширение: .genesis15\r\nЗаписка: HOW_TO_BACK_FILES.html\r\nassistant01@backup.capital, assistant01@decodezone.net\r\nIOC: VT: MD5: 94ccc29e051d0099f99c5d3f2bee4ec7\r\nОбнаружения: \r\nDrWeb - Trojan.Encoder.38448\r\nESET-NOD32 - A Variant Of Win32/Filecoder.MedusaLocker.\r\nMalwarebytes - Ransom.Medusa\r\nMicrosoft - Ransom:Win32/MedusaLocker.A!MTB\r\nTrendMicro - Ransom.Win32.MEDUSALOCKER.SMTH\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + Tweet + myTweet\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 29 of 31\n\nID Ransomware (ID as MedusaLocker)\r\n Write-up, Topic of Support\r\n 🎥 Video review \u003e\u003e\r\nAdded later:\r\nTAU Threat Analysis: Medusa Locker Ransomware (June 03, 2020)\r\n*\r\n*\r\nEtt fel inträffade.\r\nDet går inte att köra JavaScript.\r\n - видеообзор от CyberSecurity GrujaRS\r\n Thanks:\r\n CyberSecurity GrujaRS, dnwls0719, Michael Gillespie\r\n Andrew Ivanov (author)\r\n Lawrence Abrams, MalwareHunterTeam, Vitali Kremez\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 30 of 31\n\nSource: http://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nhttp://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html\r\nPage 31 of 31",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"http://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html"
	],
	"report_names": [
		"medusalocker-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434530,
	"ts_updated_at": 1775791262,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/9499f93849cf28c5ab6d9a23c464684b123a3d8e.pdf",
		"text": "https://archive.orkl.eu/9499f93849cf28c5ab6d9a23c464684b123a3d8e.txt",
		"img": "https://archive.orkl.eu/9499f93849cf28c5ab6d9a23c464684b123a3d8e.jpg"
	}
}