{
	"id": "60684a8f-e53d-445b-9c49-76a3c2571d33",
	"created_at": "2026-04-06T00:18:05.302196Z",
	"updated_at": "2026-04-10T03:21:56.818242Z",
	"deleted_at": null,
	"sha1_hash": "ad47b29b14c00286379274152e06108fda8a42cd",
	"title": "Leakthemall",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 304000,
	"plain_text": "Leakthemall\r\nArchived: 2026-04-05 14:08:49 UTC\r\nLeakthemall Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью инструмента шифрования Lockdown,\r\nа затем требует связаться с вымогателями, что заплатить за ключ дешифрования и вернуть файлы.\r\nОригинальное название: в записке не указано. На файле написано: win.exe. Для Windows x64. Написан на\r\nязыке Go. Разработчик (пользователь ПК): Amir. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.32463\r\nBitDefender -\u003e Trojan.GenericKD.43776492\r\nESET-NOD32 -\u003e Win64/Filecoder.CE\r\nKaspersky -\u003e Trojan-Ransom.Win32.Crypren.ahfl\r\nMalwarebytes -\u003e Ransom.FileCryptor\r\nSymantec -\u003e Downloader\r\nTrendMicro -\u003e Ransom_Crypen.R002C0DI520\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: неизвестный код \u003e LeakTheMall\r\nИзображение — логотип статьи\r\nhttps://id-ransomware.blogspot.com/2020/09/leakthemall-ransomware.html\r\nPage 1 of 6\n\nК зашифрованным файлам добавляется расширение: .crypt Внимание! Новые расширения, email и\r\nтексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным\r\nвариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало сентября 2020 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: ReadMe.txt\r\nСодержание записки о выкупе:\r\nHello\r\nIF YOU ARE READING THIS, IT MEANS YOUR DATA IS ENCRYPTED AND YOUR PRIVATE\r\nSENSIVITIVE INFORMATION WAS STOLEN!\r\nREAD CAREFULLY THE WHOLE INSTRUCTIONS TO AVOID PROBLEMS WITH YOUR DATA\r\nYOU HAVE TO CONTACT US IMMEDIATELY TO RESOLVE THIS ISSUE AND MAKE A DEAL!\r\n!!!WARNING!!!\r\nDO NOT Modify, Rename, Copy or Move any file. You can DAMAGE them and decryption will be impossible!\r\nDO NOT Use any third-party or public decryption software, it also may DAMAGE files.\r\nDO NOT SHUTDOWN or RESET your system, it can damage files.\r\nThere is ONLY ONE possible way to get back your files\r\nDo not waste your time, contact us and pay for special DECRYPTION KEY. The key is all you need.\r\nFor your guarantee we will decrypt 2 of your files for free, as a proof that it works.\r\nYour network was fully COMPROMISED! We Can discuss how to secure it as a bonus.\r\nThe data that we gathered could be published in MASS MEDIA for BREAKING NEWS!\r\nIf we make a deal everything would be kept in secret and all your data will be restored.\r\nI could make them public them if you decide not to pay.\r\ncontact us immediately:\r\nleakthemall@protonmail.com\r\nhttps://id-ransomware.blogspot.com/2020/09/leakthemall-ransomware.html\r\nPage 2 of 6\n\nПеревод записки на русский язык:\r\nПривет\r\nЕСЛИ ВЫ ЧИТАЕТЕ ЭТО, ЗНАЧИТ ВАШИ ДАННЫЕ ЗАШИФРОВАНЫ И ВАША ЧАСТНАЯ\r\nИНФОРМАЦИЯ УКРАДЕНА!\r\nВНИМАТЕЛЬНО ПРОЧИТАЙТЕ ВСЕ ИНСТРУКЦИИ, ЧТОБЫ ИЗБЕЖАТЬ ПРОБЛЕМ С ВАШИМИ\r\nДАННЫМИ\r\nВЫ ДОЛЖНЫ СВЯЗАТЬСЯ С НАМИ НЕМЕДЛЕННО, ЧТОБЫ РАЗРЕШИТЬ ЭТОТ ВОПРОС И\r\nЗАКЛЮЧИТЬ СДЕЛКУ!\r\n!!!ПРЕДУПРЕЖДЕНИЕ!!!\r\nЗАПРЕЩАЕТСЯ изменять, переименовывать, копировать и перемещать какие-либо файлы. Вы можете их\r\nПОВРЕДИТЬ и расшифровка будет невозможна!\r\nНЕ ИСПОЛЬЗУЙТЕ сторонние или общедоступные программы для дешифрования, они также могут\r\nПОВРЕДИТЬ файлы.\r\nНЕ ВЫКЛЮЧАЙТЕ и НЕ ПЕРЕЗАГРУЖАЙТЕ систему, это может повредить файлы.\r\nЕсть ТОЛЬКО ОДИН способ вернуть свои файлы\r\nНе теряйте время, свяжитесь с нами и оплатите специальный КЛЮЧ ДЕШИФРОВАНИЯ. Ключ - это все,\r\nчто вам нужно.\r\nДля вашей гарантии мы бесплатно расшифруем 2 ваших файла как доказательство того, что это работает.\r\nВаша сеть полностью СКОМПРОМИТИРОВАНА! Мы можем обсудить, как обезопасить её, как бонус.\r\nСобранные нами данные могут быть опубликованы в СМИ для ГЛАВНЫХ НОВОСТЕЙ!\r\nЕсли мы заключим сделку, все будет в секрете и все ваши данные будут восстановлены.\r\nЯ могу обнародовать их, если вы не заплатите.\r\nсрочно напишите нам:\r\nleakthemall@protonmail.com\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nhttps://id-ransomware.blogspot.com/2020/09/leakthemall-ransomware.html\r\nPage 3 of 6\n\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nСогласно сообщению исследователя вредоносных программ xiaopao, вместо шифрования файлы\r\nповреждаются и получают размер 0 Kb. \r\nФайлы, связанные с этим Ransomware:\r\nReadMe.txt  - название файла с требованием выкупа\r\nwin.exe - название вредоносного файла\r\nИспользует Lockdown и MemGuard \r\n \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nhttps://id-ransomware.blogspot.com/2020/09/leakthemall-ransomware.html\r\nPage 4 of 6\n\nEmail: leakthemall@protonmail.com\r\nBTC: - \r\nGithub-URL: hxxxs://github.com/raz-varren/lockdown\r\nGithub-URL:  hxxxs://github.com/awnumar/memguard\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\n🔻 Triage analysis \u003e\u003e\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\n??? Обновление от 19 сентября 2020:\r\nРасширение: .montana\r\nEmail: montanarecover@aol.com, montanarecover@cock.li\r\nЗаписка: !HELP!.txt\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nhttps://id-ransomware.blogspot.com/2020/09/leakthemall-ransomware.html\r\nPage 5 of 6\n\nRead to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as Leakthemall)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n M. Shahpasandi, Michael Gillespie\r\n Andrew Ivanov (author)\r\n xiaopao\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/09/leakthemall-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/09/leakthemall-ransomware.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/09/leakthemall-ransomware.html"
	],
	"report_names": [
		"leakthemall-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434685,
	"ts_updated_at": 1775791316,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/ad47b29b14c00286379274152e06108fda8a42cd.pdf",
		"text": "https://archive.orkl.eu/ad47b29b14c00286379274152e06108fda8a42cd.txt",
		"img": "https://archive.orkl.eu/ad47b29b14c00286379274152e06108fda8a42cd.jpg"
	}
}