{
	"id": "a58d011c-5cd0-433c-b5a8-10604f5ea4e7",
	"created_at": "2026-04-06T00:15:09.321091Z",
	"updated_at": "2026-04-10T03:21:42.098063Z",
	"deleted_at": null,
	"sha1_hash": "adde52094948424e9bcd91d34b61d4f64bdb3602",
	"title": "Gibberish, Velar",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 394355,
	"plain_text": "Gibberish, Velar\r\nArchived: 2026-04-05 18:49:45 UTC\r\nGibberish Ransomware\r\nVariants: Anenerbex, Velar, UPPER\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC,\r\nчтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.30868, Trojan.Encoder.31489\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD -\u003e 32A Variant Of Win32/Filecoder.NSF, A Variant Of Win32/Kryptik.HCPQ\r\nMicrosoft -\u003e Ransom:Win32/Filecoder!MSR\r\nQihoo-360 -\u003e Generic/Trojan.Ransom.ec8\r\nRising -\u003e Trojan.Filecoder!8.68 (CLOUD)\r\nTencent -\u003e Win32.Trojan.Filecoder.Hvix\r\nTrendMicro -\u003e Ransom_Filecoder.R002C0DBJ20\r\nVBA32 -\u003e BScope.TrojanRansom.Kuntala\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\n---\r\n© Генеалогия: ??? \u003e\u003e Gibberish, Anenerbex, Velar, UPPER\r\nИзображение — логотип статьи\r\nhttps://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nPage 1 of 10\n\nК зашифрованным файлам добавляется расширение: .uk6ge или .\u003crandom\u003e\r\nЭтимология названия:\r\nНет никаких данных о том, как вымогатели могли назвать свое \"творение\". С неизвестного \"взятки\r\nгладки\". Но они использовали слово \"gibberish\" (в переводе с англ. \"тарабарщина\") в одном из логинов\r\nпочты, как бы подчеркивая это слово. Поэтому Gibberish стало названием и заголовком статьи. \r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nОбразец этого крипто-вымогателя был обнаружен в середине февраля 2020 г. Штамп даты: 4 июля 2019 г.\r\n(Где ж его носило столько времени?) Ориентирован на англоязычных пользователей, что не мешает\r\nраспространять его по всему миру.\r\nЗаписка с требованием выкупа называется: info.txt\r\nСодержание записки о выкупе:\r\nCongratulation!!!\r\nAll your data been crypted!\r\nOur contacts:\r\nWrite to mail: DamianOlsonsnowdrop@cock.li\r\nIf we not respond 24h: gibberishEdmundBass@protonmail.com\r\nIn subject: key[160313537d]\r\nThere is no other way to get you files back, only we have key for decryption.\r\nПеревод записки на русский язык:\r\nПоздравляем!!!\r\nВсе ваши данные зашифрованы!\r\nНаши контакты:\r\nПисать на почту: DamianOlsonsnowdrop@cock.li\r\nЕсли мы не ответим за 24 часа: gibberishEdmundBass@protonmail.com\r\nВ теме: key[160313537d]\r\nИного пути вернуть файлы нет, только у нас есть ключ для расшифровки.\r\nhttps://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nPage 2 of 10\n\nЯ сравнил несколько вариантов записок и обнаружил, что каждый раз генерируется новый ключ. \r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Удаляет теневые копии файлов с помощью команды:\r\nvssadmin delete shadows /all /quiet\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\ninfo.txt - текстовый файл записки о выкупе\r\nA1.exe\r\nA2.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\nhttps://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nPage 3 of 10\n\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail-1: DamianOlsonsnowdrop@cock.li\r\nEmail-2: gibberishEdmundBass@protonmail.com\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e  AR\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 10 марта 2020:\r\nТопик на форуме \u003e\u003e\r\nРасширение: .anenerbex\r\nЗаписка: anenerbex-info.txt\r\nEmail: anenerbex@protonmail.com, anenerbex@cock.li\r\nhttps://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nPage 4 of 10\n\n➤ Содержание записки:\r\nNice to meet\r\nUnfortunately a malware has infected your computer and a large number of your files has been encrypted using a\r\nhybrid encryption scheme\r\nBy the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return\r\nyour data (NEVER).\r\nWhat guarantees?\r\nIt's just a business. We absolutely do not care about you and your deals, except getting benefits.\r\nYou can get proof by mail, just need to ask\r\nMail for contact With your ID 1a2b3c5***\r\nanenerbex@protonmail.com\r\nanenerbex@cock.li\r\nThere is no other way to get you files back, only we have key for dceryption\r\nОбновление от 18-19 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .Velar\r\nЗаписка: readme.txt\r\nEmail-1: lanthanumRosaKiddgentile@cock.li\r\nEmail-2: affrontUmerSummers@tutanota.com\r\nФайл: 1,2.exe\r\nРезультаты анализов: VT + HA + IA + AR\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.30868\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.NSF\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTrendMicro -\u003e TROJ_FRS.0NA103CI20\r\n➤ Содержание записки: \r\nHello\r\nhttps://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nPage 5 of 10\n\nUnfortunately a malware has infected your computer and a large number of your files has been encrypted using a\r\nhybrid encryption scheme!\r\nContact us:\r\n1. lanthanumRosaKiddgentile@cock.li\r\n2. affrontUmerSummers@tutanota.com\r\nIn subject: ID-7a55359***\r\nThere is no possibility to decrypt these files without a special decrypt program!\r\n---\r\nОбновление от 22 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .UPPER\r\nЗаписка: infoUPPER.txt\r\nEmail-1: TentwenUpper1@protonmail.com\r\nEmail-2: Wenuptwen1@tutanota.com\r\nРезультаты анализов: VT + HA + IA + AR\r\n➤ Содержание записки: \r\nWelcome\r\nYou have your data been crypted\r\nContact us with key ca67d9b***\r\n1 - TentwenUpper1@protonmail.com\r\n2 - Wenuptwen1@tutanota.com\r\nThere is no other way to get you files back, only we have key for dceryption\r\nFree decryption as guarantee!\r\nBefore paying you send us up to 2 files for free decryption.\r\nSend pictures, text files. (files no more than 1mb)\r\nIf you upload the database, your price will be doubled\r\nОбновление от 9 апреля 2020: \r\nПост в Твиттере \u003e\u003e\r\nТопик на форуме \u003e\u003e\r\nРасширение: .~~~~\r\nЗаписка: Read_ME.txt\r\nhttps://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nPage 6 of 10\n\nEmail: cryptofiles20202020@protonmail.com, cryptofiles20202020@cock.li\r\nРезультаты анализов: VT + VMR + AR\r\n➤ Содержание записки:\r\nDear user! Your data is encrypted!\r\nAny attempts to decrypt your data yourself will lead to loss of information !! Be careful!\r\nOur mail:\r\n1. cryptofiles20202020@protonmail.com\r\n2. cryptofiles20202020@cock.li\r\nAttention!\r\nDecryption of your files is a paid service.\r\nIf you do not have money, then you can not apply. All is serious.\r\nContact us at the address and indicate your id in the subject line.\r\nYour ID: ae3cfd7***\r\nОбновление от 16 апреля 2020:\r\nТопик на форуме \u003e\u003e\r\nРасширение: .\u003crandom\u003e, например: .fevrbdy\r\nEmail: fevrbdy@airmail.cc, fevrbdy@protonmail.com\r\nЗаписка: README.txt\r\n➤ Содержание записки:\r\nCongratulation\r\nYou have your data been crypted\r\nWrite to the mail: fevrbdy@airmail.cc\r\nIf we dont respond 24h: fevrbdy@protonmail.com\r\nSend us you key 0e0de602f7\r\nFree decryption as guarantee\r\nBefore paying you can send us up to 2 files for free decryption. The total size of files must be less than 1Mb (non\r\narchived), and files should not contain valuable information, (databases, backups, large excel sheets, etc.)\r\nhttps://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nPage 7 of 10\n\nHow to obtain Bitcoins\r\nThe easiest way to buy bitcoins is LocalBitcoins site.You have to register, click 'Buy bitcoins\", and select the\r\nseller by payment method and price,\r\nhttps://localbitcoins.com/buy_bitcoins\r\nAlso you can find other places to buy Bitcoins and beginners guide here: \r\nhttp://www.coindesk.com/informati on/now-can-i-buy-bitcoins/\r\nThere is no possibility to decrypt these files without a special decrypt program!\r\nОбновление от 29 апреля 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .\u003crandom\u003e, например: .xHIlEgqxx\r\nEmail: sodinsupport@cock.li, ReftuOne@protonmail.com\r\nРезультаты анализов: VT + HA + VMR\r\nОбновление от 20 ноября 2020:\r\nПервые пострадавшие были из США. \r\nРасширение: .esexz или .\u003crandom\u003e\r\nЗаписка: readme.txt\r\nEmail: costestu@cock.li, setestco@protonmail.com, zetterlow@tutanota.com\r\nСодержание записки о выкупе: \r\nYour ID: xxxxxxxxxx\r\nCongrats! I have a bad news for you. All of yours data has been encrypted\u0026stollen_!_\r\nhttps://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nPage 8 of 10\n\nAlso there is a good news - there is the one and the only who can help you to restore yours Data ( u need to write\r\nhere about restoring yours data, and write in the subject  of the letter yours ID : costestu@cock.li,\r\nsetestco@protonmail.com, zetterlow@tutanota.com)\r\nAs faster you are - depends on discount of price. As slower you are - depends on higher price. Don't forget about\r\nstollen data its can become public_!_(depends on also on you)\r\nAlso dear, you must know that it's impossible to restore infected computers by \r\nyourself\\somebody else_!_ \r\nAs a proof for test, in a letter  u can upload 3 files not bigger than 10 mb not contains important or secure info.\r\nПеревод записки на русский язык: \r\nВаш ID: xxxxxxxxxx\r\nПоздравляю! У меня для вас плохие новости. Все ваши данные зашифрованы и уничтожены _! _\r\nТакже есть хорошие новости - мы единственные, кто может помочь вам восстановить ваши данные (про\r\nвосстановление ваших данных нужно писать сюда, и написать в теме письма ваш ID: costestu@cock.li,\r\nsetestco@protonmail.com, zetterlow@tutanota.com)\r\nЧем быстрее напишите - цена меньше. Чем медленнее - цена выше. Не забывайте об украденных данных,\r\nкоторые могут быть опубликованы _! _ (зависит от вас)\r\nТакже дорогой, вы должны знать, что невозможно восстановить зараженные компьютеры самим \\ кем-то\r\nдругим _! _\r\nКак доказательство для теста в письме вы можете загрузить 3 файла не более 10 мб, не содержащих\r\nважной или защищенной информации.\r\nВариант от 22 марта 2021:\r\nПовторяет вариант от 20 ноября 2020. \r\nРасширение: .esexz\r\nEmail: costestu@cock.li, setestco@protonmail.com, zetterlow@tutanota.com\r\n*** пропущенные варианты ***\r\nВариант от 3  ноября 2022:\r\nСообщение: twitter.com/pcrisk/status/1588435327064363008\r\nhttps://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nPage 9 of 10\n\nРасшиение: .dom\r\nЗаписка: ENCRYPTED.txt\r\nIOC: VT: 49010614f2c6847c02cc3f9652fdc038\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.36216\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.NSF\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Win32.Generic\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + myTweet + Tweet\r\n ID Ransomware (ID as Gibberish)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n S!Ri, GrujaRS\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html\r\nPage 10 of 10",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/02/gibberish-ransomware.html"
	],
	"report_names": [
		"gibberish-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434509,
	"ts_updated_at": 1775791302,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/adde52094948424e9bcd91d34b61d4f64bdb3602.pdf",
		"text": "https://archive.orkl.eu/adde52094948424e9bcd91d34b61d4f64bdb3602.txt",
		"img": "https://archive.orkl.eu/adde52094948424e9bcd91d34b61d4f64bdb3602.jpg"
	}
}