{
	"id": "e291f136-9eef-4684-8de1-158cd3047ab9",
	"created_at": "2026-04-06T00:16:17.16236Z",
	"updated_at": "2026-04-10T03:21:38.796037Z",
	"deleted_at": null,
	"sha1_hash": "b1cae7eedf243f66ad93bbf2acfd39c1eb4138d6",
	"title": "CryptoPatronum",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 300135,
	"plain_text": "CryptoPatronum\r\nArchived: 2026-04-05 19:17:22 UTC\r\nCryptoPatronum Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем\r\nтребует выкуп в # BTC или ETH, чтобы вернуть файлы. Оригинальное название: в записке не указано. На\r\nфайле написано: crsss.exe. Фальш-копирайт: Microsoft.\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.30847\r\nBitDefender -\u003e Generic.Ransom.Hiddentear.A.BAAECAB7\r\nAvira (no cloud) -\u003e TR/Ransom.royka\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.FU\r\nMcAfee -\u003e RDN/Ransom\r\nSymantec -\u003e Downloader, Trojan.Gen.MBT\r\nTencent -\u003e Win32.Trojan.Generic.Wnck\r\nTrendMicro -\u003e Ransom_Ryzerlo.R002C0DAR20\r\nMicrosoft -\u003e Ransom:MSIL/Ryzerlo.A\r\nRising -\u003e Ransom.Ryzerlo!8.782 (CLOUD)\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! \r\n© Генеалогия: HiddenTear + ? \u003e\u003e CryptoPatronum\r\nhttps://id-ransomware.blogspot.com/2020/01/cryptopatronum-ransomware.html\r\nPage 1 of 7\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .enc\r\nФактически используется составное расширение: \r\n.cryptopatronum@protonmail.com.enc\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на вторую половину января 2020 г. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.txt\r\nhttps://id-ransomware.blogspot.com/2020/01/cryptopatronum-ransomware.html\r\nPage 2 of 7\n\nЗаписка в Notepad++\r\nЗаписка в Блокноте Windows\r\nСодержание записки о выкупе:\r\nYour files are now encrypted!\r\nYour personal identifier:\r\nJ5O570VJECXMK729NN53TDRNA1VP90HBPCMBYSVV*** [всего 128 знаков]\r\nAll your files have been encrypted due to a security problem with your PC.\r\nNow you should send us email with your personal identifier.\r\nThis email will be as confirmation you are ready to pay for decryption key.\r\nYou have to pay for decryption in Bitcoins. The price depends on how fast you write to us.\r\nAfter payment we will send you the decryption tool that will decrypt all your files.\r\nContact us using this email address: cryptopatronum@protonmail.com\r\nFree decryption as guarantee!\r\nBefore paying you can send us up to 3 files for free decryption.\r\nThe total size of files must be less than 10Mb (non archived), and files should not contain\r\nvaluable information (databases, backups, large excel sheets, etc.).\r\nFor decrypt all of files you must transfer 1 (one) BTC or 50 (fifty) ETH to this requisites:\r\nBitcoin address: 17mriroop9nWyNT8hoHS1XodEucBm9AgMq\r\nEthereum address: 0xD994268684e694C81C8C7214E4fc4Ca792AD4B3A\r\nYou should provide payment details(payment time, payment address or transaction link\r\n(https://www.blockchain.com)) via email\r\nHow to obtain Bitcoins, Ethereum?\r\n  * The easiest way to buy bitcoins is cex.io and coinbase.com sites. You have to register, click\r\nhttps://id-ransomware.blogspot.com/2020/01/cryptopatronum-ransomware.html\r\nPage 3 of 7\n\n'Buy bitcoins', and select the payment method:\r\n      https://cex.io/cards/\r\n  https://www.coinbase.com/buy-bitcoin\r\n  * Also you can buy bitcoins on Binex:      https://www.binance.com/en/buy-sell-crypto\r\n  * Also you can find other places to buy Bitcoins and beginners guide here:\r\n      http://www.coindesk.com/information/how-can-i-buy-bitcoins\r\n   Attention!\r\n    * Do not rename encrypted files.\r\n  * Do not try to decrypt your data using third party software, it may cause permanent data loss.\r\n   * Decryption of your files with the help of third parties may cause increased price\r\n     (they add their fee to our) or you can become a victim of a scam.\r\n  \r\nПеревод записки на русский язык:\r\nВаши файлы теперь зашифрованы!\r\nВаш личный идентификатор:\r\nJ5O570VJECXMK729NN53TDRNA1VP90HBPCMBYSVV*** [всего 128 знаков]\r\nВсе ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК.\r\nТеперь вы должны отправить нам письмо с вашим личным идентификатором.\r\nЭто письмо будет подтверждением того, что вы готовы заплатить за ключ расшифровки.\r\nВы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы напишите нам.\r\nПосле оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.\r\nСвяжитесь с нами, используя этот адрес email: cryptopatronum@protonmail.com\r\nБесплатная расшифровка как гарантия!\r\nПеред оплатой вы можете отправить нам до 3 файлов для бесплатной расшифровки.\r\nОбщий размер файлов должен быть не более 10 МБ (не в архиве), и файлы не должны содержать ценную\r\nинформацию (базы данных, резервные копии, большие таблицы Excel и т. д.).\r\nДля расшифровки всех файлов вы должны передать 1 (один) BTC или 50 (пятьдесят) ETH по следующим\r\nреквизитам:\r\nАдрес Bitcoin: 17mriroop9nWyNT8hoHS1XodEucBm9AgMq\r\nАдрес Ethereum: 0xD994268684e694C81C8C7214E4fc4Ca792AD4B3A\r\nВы должны предоставить реквизиты платежа (время оплаты, адрес платежа или ссылка на транзакцию\r\n(https://www.blockchain.com)) по email \r\nКак получить биткойны, Ethereum?\r\n  * Самый простой способ купить биткойны - сайты cex.io и coinbase.com. Вы должны зарегистрироваться,\r\nнажмите\r\n    «Купить биткойны» и выбрать способ оплаты:\r\n      https://cex.io/cards/\r\nhttps://www.coinbase.com/buy-bitcoin\r\n  * Также вы можете купить биткойны на Binex: https://www.binance.com/en/buy-sell-crypto\r\n  * Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:\r\n      http://www.coindesk.com/information/how-can-i-buy-bitcoins\r\nhttps://id-ransomware.blogspot.com/2020/01/cryptopatronum-ransomware.html\r\nPage 4 of 7\n\nВнимание!\r\n  * Не переименовывайте зашифрованные файлы.\r\n  * Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к\r\nнеобратимой потере данных.\r\n  * Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они\r\nдобавляют свой гонорар к нашему), или вы можете стать жертвой мошенничества.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Использование RNG (Random Number Generator, Генератор Случайных Чисел) позволяет сделать\r\nшифрование устойчивым к перебору.\r\n➤ Деструктивные действия (удаление теневых копий файлов, завершение работы Microsoft SQL Server,\r\nпрограмм 1С:Предприятие 8 и TeamViewer):\r\nvssadmin.exe delete shadows /all /quiet\r\ntaskkill.exe /f /im 1cv8.exe\r\nnet.exe stop mssqlserver /y (PID: 3360) \r\n net1.exe %WINDIR%\\system32\\net1 stop mssqlserver /y\r\n net.exe stop TeamViewer /y (PID: 3276) \r\n net1.exe %WINDIR%\\system32\\net1 stop TeamViewer /y\r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bmp, .brd, .cfg, .cgm, .class, .cmd, .conf, .cpp, .crt, .csr, .csv, .dbf, .dbm,\r\n.dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .ini,\r\n.jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11, .myd,\r\n.myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx,\r\n.ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sql, .sqlite33,\r\n.sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .sys, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop,\r\nhttps://id-ransomware.blogspot.com/2020/01/cryptopatronum-ransomware.html\r\nPage 5 of 7\n\n.uot, .vbs, .vdi, .vhd, .vhdx, .vim, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx,\r\n.xlt, .xltm, .xltx, .xlw, .xml, .zip (144 расширения) \r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр., и файлы wallet.dat\r\nФайлы, связанные с этим Ransomware:\r\nHOW TO RECOVER ENCRYPTED FILES.txt - название записки о выкупе\r\ncrsss.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nURLs: archivecaslytosk.darknet.to  \u003c- https://www.inwx.de/\r\nhcwyo5rfapkytajg.darknet.to\r\nxfmro77i3lixucja.darknet.to\r\ntorrentzwealmisr.darknet.to\r\nv4u3zio7rhmgkzzk5jvekgojl6an3dthyxzapy3zhdhhaelnj6iicfqd.darknet.to/sk.php\r\n\u003crandom\u003e.darknet.to\r\nEmail: cryptopatronum@protonmail.com\r\nBTC: 17mriroop9nWyNT8hoHS1XodEucBm9AgMq\r\nETH: 0xD994268684e694C81C8C7214E4fc4Ca792AD4B3A\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/01/cryptopatronum-ransomware.html\r\nPage 6 of 7\n\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nЕщё не было обновлений этого варианта.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter: myTweet\r\n ID Ransomware (ID as CryptoPatronum)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n Andrew Ivanov (author), Alex Svirid\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/01/cryptopatronum-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/01/cryptopatronum-ransomware.html\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/01/cryptopatronum-ransomware.html"
	],
	"report_names": [
		"cryptopatronum-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434577,
	"ts_updated_at": 1775791298,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/b1cae7eedf243f66ad93bbf2acfd39c1eb4138d6.pdf",
		"text": "https://archive.orkl.eu/b1cae7eedf243f66ad93bbf2acfd39c1eb4138d6.txt",
		"img": "https://archive.orkl.eu/b1cae7eedf243f66ad93bbf2acfd39c1eb4138d6.jpg"
	}
}