{
	"id": "0ca66448-457a-4397-ac39-ed443b4c6457",
	"created_at": "2026-04-06T00:12:57.231247Z",
	"updated_at": "2026-04-10T03:20:54.865204Z",
	"deleted_at": null,
	"sha1_hash": "b79c7f310e3eafd6cb1fc25e7c833c5ef406843e",
	"title": "KEKW",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 269950,
	"plain_text": "KEKW\r\nArchived: 2026-04-05 22:45:32 UTC\r\nKEKW Ransomware\r\nKEKW-Locker Ransomware\r\n(шифровальщик-вымогатель, деструктор, стиратель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем в шутку требует выкуп в\r\n1 миллион BTC. Оригинальное название: в записке не указано. На файле написано: KEKW.exe\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31348\r\nBitDefender -\u003e Trojan.GenericKD.42888790\r\nAvira (no cloud) -\u003e TR/Ransom.xrlse\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.YR\r\nMalwarebytes -\u003e Ransom.Kekw\r\nRising -\u003e Ransom.Genasom!8.293 (CLOUD)\r\nSymantec -\u003e Trojan.Gen.2\r\nTencent -\u003e Msil.Trojan.Encoder.Wnlz\r\nTrendMicro -\u003e Ransom.MSIL.KEKW.A\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: ??? \u003e\u003e KEKW\r\nhttps://id-ransomware.blogspot.com/2020/03/kekw-ransomware.html\r\nPage 1 of 5\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .KEKW\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на вторую половину марта 2020 г. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: Decrypt.txt\r\nСодержание записки о выкупе:\r\nRANSOM MESSAGE\r\nGIVE ME 1 MILLION BITCOIN at RANSOM.onion\r\nAES Encryption Key: G3Xgfd9aizCCOCZurvAlNaEs09RbA23iFjs3kySDlZQ=\r\nAES Encryption IV: cswzut8/X3qc6xgISDSu9Q==\r\nДругой вариант:\r\nRANSOM MESSAGE\r\nGIVE ME 1 MILLION BITCOIN at RANSOM.onion\r\nAES Encryption Key: pG1fWp5RUk9Rp6NlTUCuUYSI3zhLhy/E9BgcOoMC9ak=\r\nAES Encryption IV: rBvS7Ew31YbPQ2byHd76fA==\r\nПеревод записки на русский язык:\r\nRANSOM СООБЩЕНИЕ\r\nДайте мне 1 миллион биткойнов на RANSOM.onion\r\nAES-ключ шифрования: G3Xgfd9aizCCOCZurvAlNaEs09RbA23iFjs3kySDlZQ=\r\nAES IV шифрование: cswzut8 / X3qc6xgISDSu9Q==\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nhttps://id-ransomware.blogspot.com/2020/03/kekw-ransomware.html\r\nPage 2 of 5\n\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ На момент написания статьи было неизвестно, помогут ли данные. указанные в записке, восстановить\r\nфайлы. Во всяком случае пострадавшие не смогут сами восстановить данные. Сумма выкупа нереальная,\r\nзначит, это больше вредительство, чем вымогательство.\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nDecrypt.txt - название файла с требованием выкупа\r\nKEKW.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\Jacob\\source\\repos\\KEKW\\obj\\Debug\\KEKW.pdb\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nhttps://id-ransomware.blogspot.com/2020/03/kekw-ransomware.html\r\nPage 3 of 5\n\nСетевые подключения и связи:\r\nURL: ransom.onion\r\nEmail: - \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e  AR\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nЕщё не было обновлений этого варианта.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as ***)\r\n Write-up, Topic of Support\r\n *\r\nhttps://id-ransomware.blogspot.com/2020/03/kekw-ransomware.html\r\nPage 4 of 5\n\nThanks:\r\n GrujaRS\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/03/kekw-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/03/kekw-ransomware.html\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/03/kekw-ransomware.html"
	],
	"report_names": [
		"kekw-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434377,
	"ts_updated_at": 1775791254,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/b79c7f310e3eafd6cb1fc25e7c833c5ef406843e.pdf",
		"text": "https://archive.orkl.eu/b79c7f310e3eafd6cb1fc25e7c833c5ef406843e.txt",
		"img": "https://archive.orkl.eu/b79c7f310e3eafd6cb1fc25e7c833c5ef406843e.jpg"
	}
}