{
	"id": "f960c956-3ae9-4910-b4de-5bf005e853c0",
	"created_at": "2026-04-06T00:10:38.943469Z",
	"updated_at": "2026-04-10T03:21:05.507799Z",
	"deleted_at": null,
	"sha1_hash": "b1a191ec3107f8dbae252766830ac9834fd8ba19",
	"title": "CoronaVirus",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 724251,
	"plain_text": "CoronaVirus\r\nArchived: 2026-04-05 16:51:38 UTC\r\nCoronaVirus Ransomware\r\nCoronaVirus Cover-Ransomware\r\n(шифровальщик-вымогатель, MBR-модификатор) \r\n(первоисточник на русском)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп 0.008 -\r\n 0.05 # BTC, чтобы вернуть файлы. Оригинальное название: CoronaVirus (указано в записке и текстах на\r\nэкране). На файла может быть написано: WSHSetup.exe, ComparevalidatorIgamerefreshable.exe, sar.exe  и\r\nпрочее. \r\n---\r\nОбнаружения для Installer:\r\nDrWeb -\u003e Trojan.Encoder.31254\r\nBitDefender - \u003e Trojan.GenericKD.33533697, Trojan.GenericKD.42839733\r\nALYac -\u003e Trojan.Agent.Zenpak\r\nAvira (no cloud) -\u003e TR/Zenpak.rujhy\r\nESET-NOD32 -\u003e A Variant Of Win32/Kryptik.HBWA\r\nFortinet -\u003e W32/Zenpak.HBWA!tr.ransom\r\nKaspersky -\u003e Trojan.Win32.Zenpak.wqf\r\nQihoo-360 -\u003e Win32/Trojan.c84\r\nRising -\u003e Trojan.Kryptik!8.8 (CLOUD)\r\nSymantec -\u003e Trojan Horse\r\nTencent -\u003e Win32.Trojan.Zenpak.Syhv\r\n---\r\nОбнаружения для Ransomware:\r\nDrWeb -\u003e Trojan.Encoder.31251\r\nBitDefender -\u003e Trojan.GenericKD.33538863, Generic.Ransom.Corona.C6172AAD\r\nALYac -\u003e Trojan.Ransom.MBRlock\r\nAvira (no cloud) -\u003e TR/Ransom.MBRlock.nwhir, TR/ATRAPS.Gen5\r\nESET-NOD32 -\u003e A Variant Of Win32/MBRlock.AR\r\nFortinet -\u003e W32/Upatre.AR!tr.dldr\r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 1 of 12\n\nKaspersky -\u003e Trojan-Downloader.Win32.Upatre.imly, Trojan-Downloader.Win32.Upatre.imoc\r\nMalwarebytes -\u003e Ransom.CoronaVirus\r\nMicrosoft -\u003e Ransom:Win32/Filecoder.PF!MTB\r\nQihoo-360 -\u003e Win32/Trojan.Downloader.f9c, Win32/Trojan.Downloader.c98\r\nRising -\u003e Trojan.Ransom.Satan.e (CLOUD), Trojan.Ransom.Satan.e (CLASSIC)\r\nSymantec -\u003e Trojan.Gen.MBT, Ransom.Gen, Ransom.Cryptolocker\r\nTencent -\u003e Win32.Trojan-downloader.Upatre.Alsb, Malware.Win32.Gencirc.1134ca07\r\nTrendMicro -\u003e Ransom.Win32.MBRLOCK.AA, Ransom.Win32.KOROWNA.THCACBO\r\n---\r\nОбнаружения для файла трояна Kpot:\r\nDrWeb -\u003e Trojan.PWS.Steam.17860\r\nALYac -\u003e Trojan.Stealer.Kpot\r\nAvira (no cloud) -\u003e TR/AD.Khalesi.wmfdt\r\nBitDefender -\u003e Trojan.GenericKD.33533023\r\nESET-NOD32 -\u003e A Variant Of Win32/Kryptik.HBVI\r\nFortinet -\u003e W32/Kryptik.HBVI!tr\r\nKaspersky -\u003e Trojan.Win32.Zenpak.wsd\r\nMalwarebytes -\u003e Trojan.Dropper\r\nRising -\u003e Trojan.Kryptik!8.8 (CLOUD)\r\nSymantec -\u003e Trojan Horse\r\nTencent -\u003e Win32.Trojan.Zenpak.Hupk\r\n---\r\n© Генеалогия: Satana Ransomware + unknown \u003e\u003e CoronaVirus Ransomware\r\nРодство подтверждено сервисом IntezerAnalyzer \u003e\u003e\r\nИзображение — логотип статьи \r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 2 of 12\n\nК зашифрованным файлам добавляется не расширение, а приставка: coronavi2022@protonmail.ch___\r\nПримеры зашифрованных файлов: \r\ncoronavi2022@protonmail.ch___support.txt\r\ncoronavi2022@protonmail.ch___bugreport.html\r\ncoronavi2022@protonmail.ch___techinfo.rtf\r\nЭтимология названия и пояснения: \r\nСоздатели распространители решили сыграть на громком названии вирусной эпидемии COVID-19 (аббревиатура от англ. COrona VIrus Disease 2019), сокращенно CoronaVirus, и добавили это слово в\r\nсвои вымогательские тексты. \r\nCover-Ransomware — я ввел новое название для программ-вымогателей, которые являются прикрытием\r\nдля установки других вредоносных программ. Ранее вымогатели или фейк-вымогатели, которые вели себя\r\nподобным образом,  уже были описаны в нашем Дайджесте, но мы не выделяли это в отдельный вид. \r\nВ различных Cover-Ransomware вредоносным компонентом могут быть трояны различного действия,\r\nбанковские трояны (банкеры), инфостилеры, стиратели, деструкторы, doxware, майнеры и прочие.\r\nОписание смотрите в нашем Глоссарии. \r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало марта 2020 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: CoronaVirus.txt\r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 3 of 12\n\nСодержание записки о выкупе:\r\nCORONAVIRUS is there\r\nAll your file are crypted. \r\nYour computer is temporarily blocked on several levels. \r\nApplying strong military secret encryption algorithm.\r\nTo assist in decrypting your files, you must do the following:\r\n1. Pay 0.008 btc to Bitcoin wallet bc1q3v6far85gtdsrk4zu4fuhphheyqprwmuv62n92 or purchase the receipt\r\nBitcoin;\r\n2. Contact us by e-mail: coronaVi2022@protonmail.ch and tell us this your \r\nunique ID: D138101D44FEE2EB88495A67EEED1E89\r\nand send the link to Bitcoin transaction generated or Bitcoin check number.\r\nAfter all this, you get in your email the following:\r\n1. Instructions and software to unlock your computer\r\n2. Program - decryptor of your files.\r\nDonations to the US presidential elections are accepted around the clock.\r\nDesine sperare qui hic intras! [Wait to payment timeout 25 - 40 min]\r\nПеревод записки на русский язык:\r\nКОРОНАВИРУС здесь\r\nВсе ваши файлы зашифрованы.\r\nВаш компьютер временно блокирован на нескольких уровнях.\r\nПрименен сильный военный секретный алгоритм шифрования.\r\nДля расшифровки ваших файлов вы должны сделать следующее:\r\n1. Оплатить 0.008 btc на биткойн-кошелек bc1q3v6far85gtdsrk4zu4fuhphheyqprwmuv62n92 или купить\r\nбиткойны чеком;\r\n2. Написать нам на email: coronaVi2022@protonmail.ch и сообщить нам свой\r\nуникальный ID: D138101D44FEE2EB88495A67EEED1E89\r\nи отправить ссылку на сгенерированную биткойн-транзакцию или номер биткойн-чека.\r\nПосле всего этого вы получите в своем письме следующее:\r\n1. Инструкции и программу для разблокировки компьютера\r\n2. Программа - дешифровщик ваших файлов.\r\nПожертвования на выборы президента США принимаются круглосуточно.\r\nDesine sperare qui hic intras! [Подождите окончания платежа 25 - 40 минут]\r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 4 of 12\n\nЗапиской с требованием выкупа также выступают тексты на экране, которые появляются после\r\nперезагрузки системы: \r\nТекст обоих примерно соответствует тексту из записки, с небольшими отличиями. Подробности в\r\nследующем разделе статьи. \r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nДля автоматического распространения вредоносного ПО злоумышленники создали веб-сайт\r\nwww.wisecleaner.best, который внешне является копией официального сайта известной безопасной\r\nпрограммы для восстановления данных Wise Data Recovery (www.wisecleaner.com). На момент проверки\r\nсайта загрузки на этом сайте неактивны, но ранее с него распространялся файл WSHSetup.exe, который\r\nвыполняет функцию загрузчика для CoronaVirus Ransomware и трояна-инфостилера Kpot.\r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 5 of 12\n\nWSSetup.exe после запуска пытается загрузить 7 файлов с сайта trynda.xyz (во время проверки смогли\r\nзагрузиться только два файла file1.exe и file2.exe), затем устанавливает файл шифровальщика и троян\r\nKpot. Предназначение остальных файлов неизвестно. \r\nВо время нашей проверки сайт злоумышленников ещё был активен и система Google по проверке\r\nбезопасности сайтов сообщила, что недавно на сайте на www.wisecleaner.best было обнаружено\r\nвредоносное ПО. \r\n \r\nПоэтому, если вы используете настоящий браузер Google Chrome, а не одну из подделок и клонов, то у вас\r\nпри открытии этого сайта должно появиться такое предупреждение. Официальный браузер Google Chrome\r\nможно скачать по этой ссылке.\r\nОфициальный сайт программы для восстановления данных Wise Data\r\nRecovery (https://www.wisecleaner.com) выглядит следующим образом:\r\n \r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ По мнению исследователей, CoronaVirus Ransomware используется в качестве прикрытия (англ.\r\ncover) для распространения инфекции трояна Kpot, а не для получения выкупных платежей. Поэтому\r\nсумма выкупа довольно невелика по сравнению с другими вымогателям. \r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 6 of 12\n\nТаким образом, в данном случае основным вредоносом является троян Kpot, предназначенный для кражи\r\nразличной личной информации, включая учетные данные из установленных приложений и браузеров,\r\nигровых клиентов, почты и других служб, включая кошельки электронных платежных систем и хранения\r\nкриптовалюты. Украденная информация отправляется на сайт злоумышленников.\r\n➤ Пытается удалить теневые копии файлов, используя команды:\r\nDelete Shadows /All /Quiet\r\ndelete backup -keepVersions:0 -quiet\r\ndelete systemstatebackup -keepVersions:0 -quiet\r\n➤ Добавляется в Автозагрузку Windows.\r\n➤ Перезаписывает MBR жесткого диска. \r\n➤ Изменяет значение двоичного параметра \"BootExecute\" в разделе реестра\r\nHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager с используемого по\r\nумолчанию на \"autocheck autochk * C:\\Users\\User\\AppData\\Local\\Temp\\rdnfs.exe\"\r\nЭта операция позволяет запускать исполняемый файл из папки %Temp% перед загрузкой каких-либо\r\nслужб Windows при запуске системы, чтобы показать жертве экран блокировки с уже знакомым текстом\r\n(гламурный цвет букв на чёрном фоне). \r\nПримечательно, что через 45 минут экран блокировки переключится на немного другое сообщение (белые\r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 7 of 12\n\nбуквы на чёрном фоне). Здесь также отключена возможность выполнить ввести какие-либо действия или\r\nввести какой-либо код, чтобы вернуться в систему.\r\nИ это еще не все \"прелести\" этого вымогателя. Через 15 минут он загружается обратно в Windows и при\r\nвходе в систему отображает записку с требованием выкупа — теперь уже файл CoronaVirus.txt. \r\n✋ Стоп! Если вы дочитали статью до этого места, то вы должны немедленно с другого ПК или\r\nмобильного устройства зайти в свои аккаунты и сменить пароли на более сложные. Не забывайте, что\r\nтроян Kpot уже украл всё, что было на скомпрометированном ПК.\r\nДругие подробности\r\n➤ Схема вредоносных действий из рапорта Dr.Web vxCube:\r\n➤ Программа-вымогатель изменяет название системного диска в \"CoronaVirus\". \r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 8 of 12\n\nТакое поведение мы видим впервые, за все время вымогательских атак с использованием Ransomware и\r\nшифрования. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.acc, .asm, .avi, .bak, .bat, .bmp, .cfu, .cpp, .cry, .csv, .dbf, .dgn, .doc, .dwg, .dxf, .epf, .erf, .gbr, .gho, .gif, .jpe,\r\n.jpg, .lic, .mdb, .mdf, .mht, .mov, .mxl, .ods, .odt, .old, .pas, .pdf, .png, .ppt, .rar, .rtf, .sdf, .stl, .tax, .tex, .tif, .txt,\r\n.vbs, .vpd, .vsd, .xls, .xml, .zip (49 расширений).\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, видео, файлы образов,\r\nрезервных копий, архивы, файлы лицензий, специальные файлы некоторых прикладных программ и игр. \r\nФайлы, связанные с этим Ransomware:\r\nCoronaVirus.txt - название текстового файла\r\nWSSetup.exe - файл-загрузчик CoronaVirus Ransomware\r\nfile1.exe - файл трояна Kpot\r\nfile2.exe - файл шифровальщика\r\n\u003crandom\u003e.exe - случайное название вредоносного файла, в рассматриваемом примере это\r\nфайлы: hfyy.exe, sar.exe, c5ce.tmp.exe и прочие. \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\n%TEMP%\\hfyy.exe\r\n%TEMP%\\sar.exe\r\n%TEMP%\\qjpg.exe\r\n%APPDATA%\\c5ce.tmp.exe\r\n%APPDATA%\\c84f.tmp.exe\r\nC:\\Users\\User\\AppData\\Local\\Temp\\rdnfs.exe\r\nЗаписи реестра, связанные с этим Ransomware:\r\nHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager \"BootExecute\" \r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 9 of 12\n\nФайльшивый сайт: www.wisecleaner.best\r\nMalware URL: xxxx://trynda.xyz/\r\nMalware URL + file Kpot: xxxx://trynda.xyz/file1.exe\r\nMalware URL + file CoronaVirus: xxxx://trynda.xyz/file1.exe\r\nMalware URL + files: xxxx://trynda.xyz/{3}-{7}.exe\r\n \r\n \r\nEmail: coronaVi2022@protonmail.ch\r\nBTC: bc1q8r42fm7kwg68dts3w70qah79n5emt5m76rus5u\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nСкриноты кода и функций CoronaVirus (от исследователей):\r\n \r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 10 of 12\n\nРезультаты анализов:\r\nⒽ Hybrid analysis (Installer)\u003e\u003e\r\nⒽ Hybrid analysis (Ransomware) \u003e\u003e\r\nⒽ Hybrid analysis (Kpot) \u003e\u003e\r\n𝚺  VirusTotal analysis (Installer) \u003e\u003e\r\n𝚺  VirusTotal analysis (Ransomware) \u003e\u003e\r\n𝚺  VirusTotal analysis (Kpot) \u003e\u003e\r\n🐞 Intezer analysis (Installer) \u003e\u003e\r\n🐞 Intezer analysis (Ransomware) \u003e\u003e\r\n🐞 Intezer analysis (Kpot) \u003e\u003e\r\nᕒ  ANY.RUN analysis (Ransomware) \u003e\u003e  AR\u003e\u003e\r\nⴵ  VMRay analysis (Installer) \u003e\u003e\r\nⴵ  VMRay analysis (Ransomware) \u003e\u003e\r\nⴵ  VMRay analysis (Kpot) \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 11 of 12\n\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 14 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nРезультаты анализов: VT + VT\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet + Tweet\r\n ID Ransomware (ID as CoronaVirus)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n MalwareHunterTeam, Michael Gillespie, Vitali Kremez\r\n Andrew Ivanov (author),\r\n Lawrence Abrams, dnwls0719\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html\r\nPage 12 of 12",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/03/coronavirus-ransomware.html"
	],
	"report_names": [
		"coronavirus-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434238,
	"ts_updated_at": 1775791265,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/b1a191ec3107f8dbae252766830ac9834fd8ba19.pdf",
		"text": "https://archive.orkl.eu/b1a191ec3107f8dbae252766830ac9834fd8ba19.txt",
		"img": "https://archive.orkl.eu/b1a191ec3107f8dbae252766830ac9834fd8ba19.jpg"
	}
}