{ "id": "1a0e4139-f31f-4e89-b028-5c219b402a33", "created_at": "2026-04-06T00:08:39.998123Z", "updated_at": "2026-04-10T03:28:35.396739Z", "deleted_at": null, "sha1_hash": "ac0407235e28d0ef58c5afd6903692623362cc3e", "title": "Netwalker, Mailto", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 856808, "plain_text": "Netwalker, Mailto\r\nArchived: 2026-04-05 20:24:12 UTC\r\nNetwalker Ransomware\r\nAliases: Mailto, Koko, NetWalker\r\nNetWalker Doxware\r\n(шифровальщик-вымогатель, публикатор, RaaS) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей с помощью Salsa20, а затем требует написать на\r\nemail, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. Позже\r\nбыл получен оригинальный дешифровщик, который называл себя \"Netwalker Decrypter\" и новая записка с названием\r\n\"Netwalker\" (сетевой ходок) в заголовке. В новых версиях вымогатели перешли от требований выкупа к угрозам\r\nпубликации данных. Есть данные о причастности граждан Румынии, Болгарии, Канады и других стран к\r\nраспространению этой программы-вымогателя. \r\nВымогатели, распространяющие Netwalker, через некоторое время стали угрожать опубликовать украденные\r\nданные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого\r\nвымогатели начинают кражу данных перед шифрованием файлов. Об этих акциях вымогателей сообщалось в СМИ.\r\nНа момент публикации статьи, не было известно о публикациях украденных данных, вымогатели только угрожали.\r\nПотом они реализовали свои угрозы, чтобы доказать, что это не шутки. \r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.29450, Trojan.Encoder.29998, Trojan.Encoder.31232, Trojan.Encoder.32738,\r\nTrojan.Encoder.32816, Trojan.Encoder.32938\r\nAvira (no cloud) -\u003e TR/Crypt.XPACK.Gen\r\nBitDefender -\r\n\u003e Gen:Trojan.Heur.FU.euW@aqmXl0f, Gen:Variant.Razy.553720, Gen:Trojan.Heur.FU.fuW@aKB239, Gen:Variant.Ransom.Netwal\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.NXP, A Variant Of Win32/Filecoder.NetWalker.B\r\nKaspersky -\u003e Trojan.Win32.DelShad.aqi, Trojan-Ransom.Win32.Mailto.a\r\nMcAfee -\u003e Ransom-CWall!3D6203DF53FC\r\nMicrosoft -\u003e Ransom:Win32/Mailto, Trojan:Win32/Nemty.PD!MTB\r\nSymantec -\u003e Downloader, ML.Attribute.HighConfidence\r\nTrendMicro -\u003e Ransom.Win32.NEMTY.THIBDAI, Ransom.Win32.MAILTO.ADC\r\nVBA32 -\u003e BScope.TrojanPSW.Spy\r\n© Генеалогия: ✂️ Scarab-Amnesia + другой код \u003e\u003e Mailto / Netwalker\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 1 of 21\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение, которое можно запсиать как .\u003crandom\u003e или .\u003cID\u003e\r\nФактически используется составное расширение по шаблону: \r\n.mailto[\u003cemail\u003e].\u003crandom{4-6}\u003e или .mailto[\u003cemail\u003e].\u003cID\u003e\r\nПод .\u003crandom\u003e и .\u003cID\u003e могут находиться цифры и буквы в нижнем регистре. Вначале было 6 знаков, но потом число\r\nзнаков стало меняться на 4 и 5.\r\nПримеры использованных расширений с 6-ю знаками: \r\n.1be018\r\n.d0e731\r\nПримеры зашифрованных файлов \r\n(с 6-ю знаками в расширении)::\r\noriginal_filename.mailto[kokoklock@cock.li].1be018\r\noriginal_filename.mailto[kokoklock@cock.li].d0e731\r\nПримеры использованных расширений с 4-5-ю знаками: \r\n.1401\r\n.fbf2u\r\nПримеры зашифрованных файлов (с 4-мя и 5-ю знаками в расширении):\r\n.mailto[kazkavkovkiz@cock.li].1401\r\n.mailto[kkeessnnkkaa@cock.li].fbf2u Внимание! Новые расширения, email и тексты о выкупе можно найти в\r\nконце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. \r\nАктивность ранних вариантов этого крипто-вымогателя пришлась на начало сентября 2019. Дата\r\nкомпиляции файла, загруженного в VT - 1 сентября 2019. Активность новых вариантов (с 4-5 знаками в\r\nрасширении) пришлась на октябрь-ноябрь 2019 г. и продолжилась в 2020 году с 4-5-6-ю знаками в расширении.\r\nОриентирован на англоязычных пользователей, что не мешает распространять его по всему миру. \r\nЗаписка с требованием выкупа называется по шаблону: \r\n\u003cRANDOM\u003e-Readme.txt\r\n\u003cID\u003e-Readme.txt\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 2 of 21\n\nВ название записки входят цифры и заглавные буквы из ID. \r\nПримеры: \r\n1BE018-Readme.txt\r\nD0E731-Readme.txt\r\nСодержание записки о выкупе:\r\n++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++\r\n---\r\nWhat happen ?\r\n---\r\nYour files are encrypted, and currently unavailable.\r\nYou can check it: all files on your computer has expansion 1be018.\r\nBy the way, everything is possible to recover, but you need to follow our instructions.\r\nOtherwise, you cant return your data.\r\n---\r\nWhat guarantees?\r\n---\r\nIts just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and\r\nliabilities - nobody will not cooperate with us.\r\nIts not in our interests.\r\nTo check the ability of returning files, you should write to us by email. \r\nThere you can decrypt one file for free. That is our guarantee.\r\n---\r\nHow to contact with us ?\r\n---\r\nEmail us:\r\n1.kokoklock@cock.li\r\n2.pabpabtab@tuta.io\r\nBe sure to include your personal code in the letter:\r\n{key_1be018:EQAAADFCRTAxOC1SZWFkbWUudHh0IQAAAC5tYWlsdG9ba29rb2\r\ntsb2NrQGNvY2subGldLjFiZTAxOBbhG6/ZTlwcXSyoPZgY8TMD\r\n2p1vkUHFSmsrgiyypKETyjgMI4SbuwM0zSFNYw7SkWlrwk/s4D\r\nWPimnvwOe7PA0suwew1QoVHXCeyPII1iALwAJstGkayfAIRwie\r\n/ZtwZRC37Qz9Fs5wQWCW4MOFd3U=}\r\nПеревод записки на русский язык:\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 3 of 21\n\n++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++\r\n---\r\nЧто случилось?\r\n---\r\nВаши файлы зашифрованы и сейчас недоступны.\r\nВы можете проверить: все файлы на вашем компьютере имеют расширение 1be018.\r\nКстати, все можно восстановить, но нужно следовать нашим инструкциям.\r\nВ противном случае вы не сможете вернуть свои данные.\r\n---\r\nКакие гарантии?\r\n---\r\nЭто просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не будем\r\nвыполнять свою работу и обязательства - никто не будет с нами сотрудничать.\r\nЭто не в наших интересах.\r\nЧтобы проверить возможность возврата файлов, вы должны написать нам на email.\r\nТогда вы можете расшифровать один файл бесплатно. Это наша гарантия.\r\n---\r\nКак с нами связаться?\r\n---\r\nСвяжитесь с нами по email:\r\n1.kokoklock@cock.li\r\n2.pabpabtab@tuta.io\r\nНе забудьте указать свой личный код в письме:\r\n{key_1be018:EQAAADFCRTAxOC1SZWFkbWUudHh0IQAAAC5tYWlsdG9ba29rb2\r\ntsb2NrQGNvY2subGldLjFiZTAxOBbhG6/ZTlwcXSyoPZgY8TMD\r\n2p1vkUHFSmsrgiyypKETyjgMI4SbuwM0zSFNYw7SkWlrwk/s4D\r\nWPimnvwOe7PA0suwew1QoVHXCeyPII1iALwAJstGkayfAIRwie\r\n/ZtwZRC37Qz9Fs5wQWCW4MOFd3U=}\r\nТехнические детали\r\nАтаки NetWalker осуществляются через незащищенную конфигурацию RDP с использованием уязвимостей в Oracle\r\nWebLogic и Apache Tomcat. Специалисты ФБР сообщили, что операторы NetWalker стали использовать для атак\r\nэксплоиты для уязвимостей в Pulse Secure VPN (CVE-201911510) и для веб-приложений, использующих Telerik UI\r\n(CVE-2019-18935).\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 4 of 21\n\nНеисключены известные способы атаки и воздействия: с помощью email-спама и вредоносных вложений, обманных\r\nзагрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и\r\nзаражённых инсталляторов. См. также \"Основные способы распространения криптовымогателей\" на вводной\r\nстранице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы\r\nделайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Использует маркер файла в конце файла: 0x16E11BAF.\r\n➤ Удаляет теневые копии файлов. Использует API-интерфейс отладки WaitForDebugEvent для внедрения\r\nвредоносного кода в Проводник Windows (explorer.exe) и запуска его отлаженного защищенного процесса вместе с\r\nсистемой. После шифрования explorer.exe завершает родительский процесс и удаляет исходный образец, файл\r\nсбрасывается в \"ProgramFiles\", а также в запись RUN, уничтожая следы его существования.\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы\r\nобразов, архивы и пр.\r\nПропускаются системные директории и многие директории программных файлов: \r\n\\system volume information\\\r\n\\windows.old\\\r\n\\$windows.~ws\r\n\\boot\\\r\n\\appdata\\\r\n\\windows\\\r\n\\Internet Explorer\\\r\n\\windows defender\\\r\n\\program file*\\windows media\\\r\n\\program file*\\windows portable\\\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 5 of 21\n\n\\program file\\\r\n\\program file*\\vmwaree\\\r\n\\program file*\\windows nt\\\r\n\\program file*\\windows photo\\\r\n\\program file*\\windows side\\\r\n\\program file*\\windowspowershell\\\r\n\\program file*\\\r\n\\program file*\\microsoft games\\\r\n\\program file*\\common files\\\r\n\\windows\\cache\\\r\n\\temporary internet\\\r\n\\media player\\\r\n\\users\\*\\appdata\\*\\microsoft\r\n\\users\\*\\appdata\\*\\microsoft\r\nФайлы, связанные с этим Ransomware:\r\n1BE018-Readme.txt\r\nD0E731-Readme.txt\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: kokoklock@cock.li, pabpabtab@tuta.io\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. \r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 6 of 21\n\n=== ДЕШИФРОВЩИК === DECRYPTOR ===\r\nДешифровщик для этого вымогателя называет себя \"Netwalker Decryptor\". \r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nВариант Mailto / Netwalker с 6 знаками в расширении - сентябрь 2019\r\nВариант Mailto / Netwalker с 4 знаками в расширении - октябрь 2019\r\nВариант Mailto / Netwalker с 5 знаками в расширении - ноябрь 2019\r\nДалее продолжилось с тем, что уже есть. \r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 13 октября 2019: \r\nРасширение: .mailto[\u003cemail\u003e].\u003crandom{4}\u003e\r\nЗаписка: \u003cID\u003e-Readme.txt\r\nEmail: kazkavkovkiz@cock.li, Hariliuios@tutanota.com\r\nСодержание записки о выкупе: \r\nHi!\r\nYour files are encrypted.\r\nAll encrypted files for this computer has extension: .1401\r\n--\r\nIf for some reason you read this text before the encryption ended,\r\nthis can be understood by the fact that the computer slows down, \r\nand your heart rate has increased due to the ability to turn it off,\r\nthen we recommend that you move away from the computer and accept that you have been compromised,\r\nrebooting/shutdown will cause you to lose files without the possibility of recovery and even god will not be able to help you,\r\nit could be files on the network belonging to other users, sure you want to take that responsibility?\r\n--\r\nOur encryption algorithms are very strong and your files are very well protected, you can't hope to recover them without our\r\nhelp.\r\nThe only way to get your files back is to cooperate with us and get the decrypter program.\r\nDo not try to recover your files without a decrypt program, you may damage them and then they will be impossible to\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 7 of 21\n\nrecover.\r\nWe advise you to contact us as soon as possible, otherwise there is a possibility that your files will never be returned.\r\nFor us this is just business and to prove to you our seriousness, we will decrypt you some files for free, \r\nbut we will not wait for your letter for a long time, mail can be abused, we are moving on, hurry up with the decision.\r\nСontact us:\r\n1.kazkavkovkiz@cock.li\r\n2.Hariliuios@tutanota.com\r\nDon't forget to include your code in the email:\r\n{code_1401:smjErehmmb8LN/ANr+7IThQKwUq3HbWCnh6hI5U0QmCXxlLi+E\r\nvx5Fcfp3p4q8GUCIEw9pQzIHugCWZqozxmIES39ohGqXRDXKkv\r\nRi/rJHtNC3J8BRvrrbqFYkJrDrwLLBBK7127c3qEyJf8EyOXhn\r\nWNQ7dH6oAO6qAejWIE0XH73AqHeQ1hiAeiB3U7vviDKLzYTG9z\r\nV/DoxL9iM4CUbz8ZtVpqeIO7mw0OWcsx5oHkXVqGXg1SziRPKT\r\nd58WyzVj5niEeKrAlRhd9eJb00pEtFcw==}\r\nПеревод записки на русский язык: \r\nПривет!\r\nВаши файлы зашифрованы.\r\nВсе зашифрованные файлы для этого компьютера имеют расширение: .1401\r\n-\r\nЕсли по какой-то причине вы прочитали этот текст до того, как шифрование закончилось, это можно понять по тому,\r\nчто компьютер замедлился, а частота сердечных сокращений увеличилась из-за возможности его выключить,\r\nпоэтому мы рекомендуем вам отойти от компьютера и принять, что вы были скомпрометированы, перезагрузка /\r\nвыключение приведет к потере файлов без возможности восстановления, и даже бог не сможет вам помочь, это\r\nмогут быть файлы в сети, принадлежащие другим пользователям, обязательно взять на себя эту ответственность?\r\n-\r\nНаши алгоритмы шифрования очень сильны, и ваши файлы очень хорошо защищены, вы не можете надеяться\r\nвосстановить их без нашей помощи.\r\nЕдинственный способ вернуть ваши файлы - это сотрудничать с нами и получить программу расшифровки.\r\nНе пытайтесь восстановить ваши файлы без расшифровки программы, вы можете повредить их, и тогда их будет\r\nневозможно восстановить.\r\nМы рекомендуем вам связаться с нами как можно скорее, в противном случае есть вероятность, что ваши файлы\r\nникогда не будут возвращены.\r\nДля нас это просто бизнес, и чтобы доказать вам нашу серьезность, мы расшифруем некоторые файлы бесплатно, но\r\nмы не будем долго ждать вашего письма, почта может быть заблокирована, мы идем дальше, поторопитесь с\r\nрешение.\r\nСвяжитесь с нами:\r\n1.kazkavkovkiz@cock.li\r\n2.Hariliuios@tutanota.com\r\nНе забудьте указать свой код в письме:\r\n{code_1401:smjErehmmb8LN/ANr+7IThQKwUq3HbWCnh6hI5U0QmCXxlLi+E\r\nvx5Fcfp3p4q8GUCIEw9pQzIHugCWZqozxmIES39ohGqXRDXKkv\r\nRi/rJHtNC3J8BRvrrbqFYkJrDrwLLBBK7127c3qEyJf8EyOXhn\r\nWNQ7dH6oAO6qAejWIE0XH73AqHeQ1hiAeiB3U7vviDKLzYTG9z\r\nV/DoxL9iM4CUbz8ZtVpqeIO7mw0OWcsx5oHkXVqGXg1SziRPKT\r\nd58WyzVj5niEeKrAlRhd9eJb00pEtFcw==}\r\n---\r\nПропускаются системные директории и многие директории программных файлов: \r\n*system volume information\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 8 of 21\n\n*windows.old\r\n*:\\users\\*\\*temp\r\n*msocache\r\n*:\\winnt\r\n*$windows.~ws\r\n*perflogs\r\n*boot\r\n*:\\windows\r\n*:\\program file*\r\n\\vmware\r\n\\\\*\\users\\*\\*temp\r\n\\\\*\\winnt nt\r\n\\\\*\\windows\r\n*\\program file*\\vmwaree\r\n*appdata*microsoft\r\n*appdata*packages\r\n*microsoft\\provisioning\r\n*dvd maker\r\n*Internet Explorer\r\n*Mozilla\r\n*Old Firefox data\r\n*\\program file*\\windows media*\r\n*\\program file*\\windows portable*\r\n*windows defender\r\n*\\program file*\\windows nt\r\n*\\program file*\\windows photo*\r\n*\\program file*\\windows side*\r\n*\\program file*\\windowspowershell\r\n*\\program file*\\cuas*\r\n*\\program file*\\microsoft games\r\n*\\program file*\\common files\\system em\r\n*\\program file*\\common files\\*shared\r\n*\\program file*\\common files\\reference ass*\r\n*\\windows\\cache*\r\n*temporary internet*\r\n*media player\r\n*:\\users\\*\\appdata\\*\\microsoft\r\n\\\\*\\users\\*\\appdata\\*\\microsoft\r\nОбновление от 6 ноября 2019:\r\nСообщение \u003e\u003e\r\nРасширение: .\u003crandom{5}\u003e\r\nСоставное расширение (шаблон): .mailto[\u003cemail\u003e].\u003crandom{5}\u003e\r\nСоставное расширение (пример): .mailto[2Hamlampampom@cock.li].82a80\r\nEmail: 2Hamlampampom@cock.li, Galgalgalgalk@tutanota.com\r\nЗаписка (шаблон): \u003cID\u003e-Readme.txt\r\nЗаписка (пример): 82A80-Readme.txt\r\nРезультаты анализов: VT + VMR\r\n---\r\n➤ Обнаружения: \r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 9 of 21\n\nDrWeb -\u003e Trojan.Encoder.29998\r\nBitDefender -\u003e Gen:Variant.Razy.553720\r\nMcAfee -\u003e Ransom-CWall!B0008E752F48\r\nMicrosoft -\u003e Trojan:Win32/Nemty.PD!MTB\r\nRising -\u003e Ransom.Mailto!1.BC36 (CLOUD)\r\nTrendMicro -\u003e Ransom.Win32.MAILTO.ADC\r\n➤ Содержание записки:\r\nHi!\r\nYour files are encrypted.\r\nAll encrypted files for this computer has extension: .82a80\r\n--\r\nIf for some reason you read this text before the encryption ended,\r\nthis can be understood by the fact that the computer slows down, \r\nand your heart rate has increased due to the ability to turn it off,\r\nthen we recommend that you move away from the computer and accept that you have been compromised,\r\nrebooting/shutdown will cause you to lose files without the possibility of recovery and even god will not be able to help you,\r\nit could be files on the network belonging to other users, sure you want to take that responsibility?\r\n--\r\nOur encryption algorithms are very strong and your files are very well protected, you can't hope to recover them without our\r\nhelp.\r\nThe only way to get your files back is to cooperate with us and get the decrypter program.\r\nDo not try to recover your files without a decrypt program, you may damage them and then they will be impossible to\r\nrecover.\r\nWe advise you to contact us as soon as possible, otherwise there is a possibility that your files will never be returned.\r\nFor us this is just business and to prove to you our seriousness, we will decrypt you some files for free, \r\nbut we will not wait for your letter for a long time, mail can be abused, we are moving on, hurry up with the decision.\r\nСontact us:\r\n1.2Hamlampampom@cock.li\r\n2.Galgalgalgalk@tutanota.com\r\nDon't forget to include your code in the email:\r\n{code_3289ad72_82a80:\r\nTdbC2z2sDmbynrNfz+/MNXPnOFfoaKCO6n5oOcE9BmdZ+V7rpm\r\nVk8nf4/uqvCi+PcmAes5oFDKnY6wqXAJzs1g6QqwvBDhRwcq2J\r\nMpggWFeJjL9SmYxDvGsesTN9VyP2FfgHkhbhQzBb5KGSg7C4S0\r\nYOACdiplxm/8qkdVgESTDoGmAE7ZtM0QB2SvByB3eE0Cm64Au8\r\nTIpo1+9enkvgfv1oQotXH5d2/BFLMGFUeiR5pFKeZNWBVU3WrI\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 10 of 21\n\ngWVZ6NTSCNCEVruFBGMewtI6c8O9ADyks=}\r\n=== 2020 ===\r\nОбновление от 23 января 2020:\r\nРасширение (шаблон): .mailto[\u003cemail\u003e].\u003crandom{5}\u003e\r\nРасширение (пример): .mailto[sevenoneone@cock.li].25b0a\r\n➤ Содержание записки:\r\nHi!\r\nYour files are encrypted.\r\nAll encrypted files for this computer has extension: .1a2b3\r\n--\r\nIf for some reason you read this text before the encryption ended,\r\nthis can be understood by the fact that the computer slows down, \r\nand your heart rate has increased due to the ability to turn it off,\r\nthen we recommend that you move away from the computer and accept that you have been compromised,\r\nrebooting/shutdown will cause you to lose files without the possibility of recovery and even god will not be able to help you,\r\nit could be files on the network belonging to other users, sure you want to take that responsibility?\r\n--\r\nOur encryption algorithms are very strong and your files are very well protected, you can't hope to recover them without our\r\nhelp.\r\nThe only way to get your files back is to cooperate with us and get the decrypter program.\r\nDo not try to recover your files without a decrypt program, you may damage them and then they will be impossible to\r\nrecover.\r\nWe advise you to contact us as soon as possible, otherwise there is a possibility that your files will never be returned.\r\nFor us this is just business and to prove to you our seriousness, we will decrypt you some files for free, \r\nbut we will not wait for your letter for a long time, mail can be abused, we are moving on, hurry up with the decision.\r\nСontact us:\r\n1.sevenoneone@cock.li\r\n2.kavariusing@tutanota.com\r\nDon't forget to include your code in the email:\r\n{code***}\r\nОбновление от 3 февраля 2020:\r\nСообщение \u003e\u003e\r\nРасширение: .mailto[\u003cemail\u003e].\u003crandom{5}\u003e\r\nПримеры расширений: b0ae6, .c3f7e\r\nСоставное расширение (шаблон): .mailto[\u003cemail_ransom\u003e].\u003crandom{5}\u003e\r\nСоставное расширение (пример): .mailto[kkeessnnkkaa@cock.li].c3f7e\r\nЗаписка: \u003cID\u003e-Readme.txt\r\nПримеры записок: C3F7E-Readme.txt, B0AE6-Readme.txt\r\nEmail: kkeessnnkkaa@cock.li, hhaaxxhhaaxx@tuta.io\r\nФайл: wwllww.vexe\r\nДата компиляции: 6 декабря 2019\r\nРезультаты анализов: VT + HA + IA + AR + VMR\r\n---\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.29998\r\nBitDefender -\u003e Gen:Trojan.Heur.FU.fuW@aKB239\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 11 of 21\n\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.NXP\r\nMcAfee -\u003e Ransom-CWall!73DE5BABF166\r\nRising -\u003e Ransom.Mailto!1.BC36 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\n---\r\n➤ Содержание записки:\r\nHi!\r\nYour files are encrypted.\r\nAll encrypted files for this computer has extension: .b0ae6\r\n--\r\nIf for some reason you read this text before the encryption ended,\r\nthis can be understood by the fact that the computer slows down, \r\nand your heart rate has increased due to the ability to turn it off,\r\nthen we recommend that you move away from the computer and accept that you have been compromised,\r\nrebooting/shutdown will cause you to lose files without the possibility of recovery and even god will not be able to help you,\r\nit could be files on the network belonging to other users, sure you want to take that responsibility?\r\n--\r\nOur encryption algorithms are very strong and your files are very well protected, you can't hope to recover them without our\r\nhelp.\r\nThe only way to get your files back is to cooperate with us and get the decrypter program.\r\nDo not try to recover your files without a decrypt program, you may damage them and then they will be impossible to\r\nrecover.\r\nWe advise you to contact us as soon as possible, otherwise there is a possibility that your files will never be returned.\r\nFor us this is just business and to prove to you our seriousness, we will decrypt you some files for free, \r\nbut we will not wait for your letter for a long time, mail can be abused, we are moving on, hurry up with the decision.\r\nСontact us:\r\n1.kkeessnnkkaa@cock.li\r\n2.hhaaxxhhaaxx@tuta.io\r\nDon't forget to include your code in the email:\r\n{code_345f15fb_b0ae6:\r\nqLLViWHEEjy2NZnRRmMjfHyyMyN55ePylVs***nsf/KUM55Y=}\r\nОбновление от 5 февраля 2020:\r\nРасширение: .mailto[\u003cemail\u003e].\u003crandom{5}\u003e\r\nЗаписка: \u003cID\u003e-Readme.txt\r\nEmail: sevenoneone@cock.li, kavariusing@tutanota.com\r\nОбновление от 13 февраля 2020:\r\nСообщение \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 12 of 21\n\nРасширение: .aa974, .3cdc5\r\nЗаписки: AA974-Readme.txt, C3DC5-Readme.txt\r\nEmail: knoocknoo@cock.li, eeeooppaaaxxx@tuta.io\r\n \r\nРезультаты анализов: VT + IA + VMR + AR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.29998\r\nALYac -\u003e Trojan.Ransom.Mailto\r\nBitDefender -\u003e Trojan.Ransom.Netwalker.A\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.NetWalker.D\r\nMalwarebytes -\u003e Ransom.NetWalker\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Win32.Mailto.vho\r\nTrendMicro -\u003e Ransom.Win32.NEMTY.SMTHA\r\nОбновление от 12 марта 2020:\r\nСообщение \u003e\u003e\r\nПример расширения: .d2723e\r\nПример записки: D2723E-Readme.txt\r\nНа странице сайта оплаты появилось самоназвание: NetWalker\r\nРезультаты анализов: VT + HA + VMR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.31232\r\nBitDefender -\u003e Gen:Variant.Ransom.Netwalker.4\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.NetWalker.B\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\n➤ Содержание записки:\r\nHi!\r\nYour files are encrypted.\r\nAll encrypted files for this computer has extension: .531c5d\r\n--\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 13 of 21\n\nIf for some reason you read this text before the encryption ended,\r\nthis can be understood by the fact that the computer slows down,\r\n and your heart rate has increased due to the ability to turn it off,\r\nthen we recommend that you move away from the computer and accept that you have been compromised.\r\nRebooting/shutdown will cause you to lose files without the possibility of recovery.\r\n--\r\nOur encryption algorithms are very strong and your files are very well protected, the only way to get your files back is to\r\ncooperate with us and get the decrypter program.\r\nDo not try to recover your files without a decrypter program, you may damage them and then they will be impossible to\r\nrecover.\r\nFor us this is just business and to prove to you our seriousness, we will decrypt you one file for free.\r\nJust open our website, upload the encrypted file and get the decrypted file for free.\r\n--\r\nSteps to get access on our website:\r\n1.Download and install tor-browser: https://torproject.org/\r\n2.Open our website: rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion\r\n3.Put your personal code in the input form:{code_04b069:OOoaN/OUOKbN9XH4t***JeVqg==}\r\n---\r\nСкриншоты сайта оплаты: \r\nВымогатели, наконец, \"разродились\" названием для своей вредоносной программы. Шесть месяцев спустя\r\nопределиться с названием — это своеобразный шнобельский рекорд. \r\nTor-URL: rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion\r\nВ записке это теперь называется Netwalker, а на Tor-сайте NetWalker, даже теперь они еще путаются с названием и\r\nдо сих пор не определились в размере буквы W. Какой это \"сетевой ходок\", это \"koko\", как они сами себя и назвали\r\nв первом email-адресе kokoklock@cock.li. \r\nФайл: CORONAVIRUS_COVID-19.vbs (myvtfile.exe)\r\nРезультаты анализов: VT \r\nОбновление от 12 мая 2020:\r\nСообщение \u003e\u003e\r\nСообщение \u003e\u003e\r\nВымогатели выпустили крупное обновление, включающее автоматическую публикацию данных о жертвах,\r\nразблокировку процессов (с помощью API Restart Manager), сборки PowerShell, демонстрацию заработка на\r\nвымогательстве в миллион долларов (например, 1 038 491 доллар от одной жертвы). \r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 14 of 21\n\nОбновление от 19 мая 2020:\r\nСтатья на сайте BleepingComputer \u003e\u003e\r\nNetwalker полностью переходят на атаки крупных предприятий, чтобы вывести свой бизнес на новый\r\nуровень. Стараются избегать российские предприятия и цели в странах СНГ. \r\nСхема, характеризующая новую структуру Netwalker.\r\nОбновление от 22 мая 2020:\r\nСообщение \u003e\u003e\r\nРасширение: .3e9831\r\nЗаписка: 3E9831-Readme.txt\r\nEmail: ---\r\nРезультаты анализов: VT + AR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.31876\r\nBitDefender -\u003e Trojan.Agent.ERKI\r\nTrendMicro -\u003e Ransom.PS1.NETWALKER.SMW\r\nTor-URL-1: pb36hu4spl6cyjdfhing7h3pw6dhpk32ifemawkujj4gp33ejzdq3did.onion\r\nTor-URL-2: rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 15 of 21\n\nРезультаты анализов: VT + AR \r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.31757\r\nALYac -\u003e Trojan.Ransom.Powershell\r\nBitDefender -\u003e Trojan.Ransom.GenericKD.43121546\r\nESET-NOD32 -\u003e Win64/Filecoder.Netwalker.A\r\nTrendMicro -\u003e Ransom.PS1.NETWALKER.SM\r\nОбновление от 1 августа 2020:\r\nНачиная с марта 2020 года шифровальщик принес своим операторам около 25 миллионов долларов.  Обновление от\r\n4 сентября 2020:\r\n \r\nОбновление от 3 октября 2020: \r\nЗаписка (шаблон): XXXXXX-Readme.txt\r\nЗаписка (пример): 2F9B60-Readme.txt\r\nФайлы: ned2.ps1, pay.ps1\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.32738\r\nALYac -\u003e Trojan.Ransom.Netwalker\r\nBitDefender -\u003e Trojan.Agent.EXIG\r\nESET-NOD32 -\u003e PowerShell/Filecoder.AE\r\nSymantec -\u003e Trojan Horse\r\nTrendMicro -\u003e Ransom.PS1.NETWALKER.SMW\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 16 of 21\n\nСкриншоты сайта утечек:\r\nОбновление от 10 октября 2020: \r\nURL: xxxx://rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion/blog\r\nЗаписка (шаблон): XXXXXX-Readme.txt\r\nЗаписка (пример): F0DBEC-Readme.txt\r\nФайл: oopsNO.ps1 \r\nРезультаты анализов: VT + HA + IA + VMR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.32816\r\nALYac -\u003e Trojan.Ransom.Netwalker\r\nBitDefender -\u003e Trojan.PowerShell.Agent.HQ\r\nSymantec -\u003e Trojan Horse\r\nTrendMicro -\u003e Ransom.PS1.NETWALKER.SMW\r\nОбновление от 27 октября 2020:\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.32938\r\nESET-NOD32 -\u003e PowerShell/Injector.BC\r\nSymantec -\u003e Trojan.Gen.NPE\r\n \r\nОбновление от 27 ноября 2020:\r\nРасширение: .18a936\r\nЗаписка: 18a936-Readme.txt\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 17 of 21\n\nОбновление от 9 декабря 2020:\r\nРасширение: .5f13f7\r\nФайл: Bedeva Hack.exe\r\nРезультаты анализов: VT\r\n=== 2021 ===\r\nНовость от 27 января 2021\r\nМинистерство юстиции США, ФБР, Болгарская национальная служба расследований и Генеральное управление\r\nБолгарии по борьбе с организованной преступностью в ходе согласованных действий конфисковали сайты\r\nNetwalker Tor, сайты платежей и утечки данных. В итоге теперь на них выставлено сообщение от ФБР и\r\nправоохранительных органов Болгарии о конфискации. \r\nВариант от 12 февраля 2021: \r\nРасширение (пример): .483b6a\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 18 of 21\n\nЗаписка: 483B6A-Readme.txt\r\nTor-URL-1: pb36hu4spl6cyjdfhing7h3pw6dhpk32ifemawkujj4gp33ejzdq3did.onion\r\nTor-URL-2: rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion\r\nРезультаты анализов: VT + AR\r\n---\r\n➤ Содержание записки: \r\nHi ATS,\r\nYour files are encrypted.\r\nAll encrypted files for this computer has extension: .483b6a\r\n--\r\nIf for some reason you read this text before the encryption ended,\r\nthis can be understood by the fact that the computer slows down,\r\nand your heart rate has increased due to the ability to turn it off,\r\nthen we recommend that you move away from the computer and accept that you have been compromised.\r\nRebooting/shutdown will cause you to lose files without the possibility of recovery.\r\n--\r\nOur  encryption algorithms are very strong and your files are very well protected,\r\nthe only way to get your files back is to cooperate with us and get the decrypter program.\r\nDo not try to recover your files without a decrypter program, you may damage them and then they will be impossible to\r\nrecover.\r\nFor us this is just business and to prove to you our seriousness, we will decrypt you one file for free.\r\nJust open our website, upload the encrypted file and get the decrypted file for free.\r\nAdditionally, your data may have been stolen and if you do not cooperate with us, it will become publicly available on our\r\nblog.\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 19 of 21\n\n--\r\nSteps to get access on our website:\r\n1.Download and install tor-browser: https://torproject.org/\r\n2.Open our website: pb36hu4spl6cyjdfhing7h3pw6dhpk32ifemawkujj4gp33ejzdq3did.onion\r\nIf the website is not available, open another one: rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion\r\n3.Put your personal code in the input form:\r\n{code_483b6a:\r\nMhQ+We64H1mcJk1R89MV4PKE9AeqcU8/VgudouJyIRb8qreE4X\r\n***всего 292 знака***}\r\n=== 2022 ===\r\nНовость от 8 февраля 2022 г.\r\nГражданин Канады, обвиняемый в причастности к атакам NetWalker Ransomware, приговорен к 6 годам и 8 месяцам\r\nтюремного заключения после того, как перед судьей Онтарио признал себя виновным в многочисленных\r\nпреступлениях, связанных с нападениями на 17 канадских жертв.\r\nДежарден признал, что вся его вымогательская деятельность включала более 2000 биткойнов, из которых\r\n719,99591411 биткойнов были изъяты полицией Канады из его электронных кошельков и счетов в январе 2021 года.\r\nКроме того, полиция также изъяла 15,725489349111 XMR из кошелька Monero, 299150 канадских долларов из его\r\nдома и более 330000 канадских долларов из нескольких депозитных ячеек в Национальном банке Канады.\r\nДополнение от 5 октября 2022:\r\nСебастьен Вашон-Дежарден, бывший аффилированный партнер Netwalker приговорен к 20 годам тюремного\r\nзаключения и штрафу в размере 21,5 миллиона долларов за атаки на компанию в Тампе и другие организации.\r\nСтатья на сайте BC \u003e\u003e\r\n=== 2023 ===\r\nФевраль 2023. Ребрендинг или уход в тень? \r\nПод названием Alpha Ransomware с февраля 2023 года активен новый вымогатель, в котором много общего с\r\nNetwalker. \r\nНазвание это не уникально, в моем списке есть несколько вымогателей прошлых лет с таким или походим\r\nназванием. \r\nНовость от 11 августа 2023: \r\nАдминистраторы LOLEKHosted арестованы за помощь банде Netwalker Ransomware. \r\n=== 2024 ===\r\nНовость от 20 декабря 2024:\r\nДаниэль Кристиан Хулеа, гражданин Румынии, обвиняемый в причастности к атакам с использованием NetWalker\r\nRansomware, приговорен к 20 годам тюремного заключения после того, как в июне признал себя виновным в сговоре\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 20 of 21\n\nс целью компьютерного и электронного мошенничества. Его экстрадировали в США после ареста румынской\r\nполицией в Клуже еще в июле 2023 года по запросу правоохранительных органов США.\r\nХулеа признался в участии в сговоре с целью использования NetWalker Ransomware. Члены это киберпреступной\r\nгруппировки использовали эту вредоносную программу в атаках на сотни жертв по всему миру, включая больницы,\r\nправоохранительные органы, службы экстренной помощи, компании, муниципалитеты, школьные округа, колледжи\r\nи университеты.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet + myTweet + Tweet\r\n ID Ransomware (ID as Netwalker (Mailto))\r\n Write-up, Topic of Support\r\n *\r\nAdded later:\r\nWrite-up by Bleeping Computer (on February 5, 2020)\r\nWrite-up by McAfee (on August 3, 2020)\r\nThreat Analysis by Carbon Black (on February 7, 2020)\r\n Thanks:\r\n Michael Gillespie, GrujaRS, quietman7\r\n Andrew Ivanov (author)\r\n Coveware, Lawrence Abrams\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2019/09/koko-ransomware.html\r\nPage 21 of 21", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "references": [ "https://id-ransomware.blogspot.com/2019/09/koko-ransomware.html" ], "report_names": [ "koko-ransomware.html" ], "threat_actors": [ { "id": "9099912b-a00a-4afb-8294-c6d35af421a1", "created_at": "2023-01-06T13:46:39.338108Z", "updated_at": "2026-04-10T02:00:03.292102Z", "deleted_at": null, "main_name": "Scarab", "aliases": [], "source_name": "MISPGALAXY:Scarab", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "e7d03ac8-7d6f-4ea0-83a9-10dff2ea1486", "created_at": "2022-10-25T16:07:24.158325Z", "updated_at": "2026-04-10T02:00:04.884772Z", "deleted_at": null, "main_name": "Scarab", "aliases": [ "UAC-0026" ], "source_name": "ETDA:Scarab", "tools": [ "Scieron" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434119, "ts_updated_at": 1775791715, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/ac0407235e28d0ef58c5afd6903692623362cc3e.pdf", "text": "https://archive.orkl.eu/ac0407235e28d0ef58c5afd6903692623362cc3e.txt", "img": "https://archive.orkl.eu/ac0407235e28d0ef58c5afd6903692623362cc3e.jpg" } }