{
	"id": "ccd184d8-dffb-47c4-97a0-ea9389ae977c",
	"created_at": "2026-04-06T01:30:03.63787Z",
	"updated_at": "2026-04-10T03:21:19.484929Z",
	"deleted_at": null,
	"sha1_hash": "bcca3bd9d48d5e707898fb824ac1b7ea3e2ef53f",
	"title": "Cyrat",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 324956,
	"plain_text": "Cyrat\r\nArchived: 2026-04-06 00:42:22 UTC\r\nCyrat Ransomware\r\nCyrat Python Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью метода шифрования Fernet, а затем требует\r\nвыкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Написан на Python,\r\nиспользует PyCryptodome. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.32429\r\nBitDefender -\u003e Trojan.GenericKD.43738468\r\nALYac -\u003e Trojan.Ransom.Python\r\nAvira (no cloud) -\u003e TR/Ransom.qhsqf\r\nESET-NOD32 -\u003e Python/Filecoder.AB\r\nMalwarebytes -\u003e Ransom.FileCryptor\r\nTencent -\u003e Win32.Trojan.Filecoder.Wopj\r\nSymantec -\u003e Trojan.Gen.MBT\r\nTrendMicro -\u003e TROJ_FRS.VSNTHQ20\r\n---\r\n© Генеалогия: предыдущие Python ransomware Ⓟ \u003e\u003e Cyrat\r\nИзображение — логотип статьи\r\nhttps://id-ransomware.blogspot.com/2020/08/cyrat-ransomware.html\r\nPage 1 of 7\n\nК зашифрованным файлам добавляется расширение: .CYRAT Внимание! Новые расширения, email и\r\nтексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным\r\nвариантом. \r\nАктивность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: \r\nRANSOME_NOTE.txt\r\nСодержание записки о выкупе:\r\nThe harddisks of your computer have been encrypted with an very very strong encryption algorithm.\r\nThere is no way to restore your data without a special key.\r\nOnly we can decrypt your files!\r\nTo purchase your key and restore your data, please follow these three easy steps:\r\n1. Email the file called EMAIL_US.txt at Desktop\\EMAIL_US.txt to officialintuitsoftware@gmail.com\r\n2. You will recieve your personal BTC address for payment.\r\nOnce a payment of $1000 in btc has been completed, send another email to officialintuitsoftware@gmail.com Titled\r\n\"PAID\".\r\nWe will check to see if payment has been paid.\r\nNote: If you make your payment within 2 days, the fees would be slashed by half, that is $500 in btc\r\n3. You will receive a text file with your KEY that will unlock all your files. You have 2 days from today being Aug-27-\r\n2020\r\nIMPORTANT: To decrypt your files, place text file on desktop and wait. Shortly after it will begin to decrypt all files.\r\nWARNING:\r\nDo NOT attempt to decrypt your files with any software as it is obselete and will not work, and may cost you more to\r\nunlcok your files.\r\nDo NOT change file names, mess with the files, or run deccryption software as it will cost you more to unlock your files\r\nand Your files might be lost forever.\r\nDo NOT send \"PAID\" without paying, price will double for disobedience.\r\nDo NOT think that we won't leave your files encrypted forever because we will\"\r\nDon't know what btc is? Visit https://bitcoin.org\r\nПеревод записки на русский язык:\r\nЖесткие диски вашего компьютера зашифрованы с очень надежным алгоритмом шифрования.\r\nБез специального ключа невозможно восстановить ваши данные.\r\nhttps://id-ransomware.blogspot.com/2020/08/cyrat-ransomware.html\r\nPage 2 of 7\n\nТолько мы можем расшифровать ваши файлы!\r\nЧтобы приобрести ключ и восстановить данные, выполните три простых шага:\r\n1. Отправьте файл EMAIL_US.txt с Desktop\\EMAIL_US.txt по email на адрес officialintuitsoftware@gmail.com\r\n2. Вы получите свой личный адрес BTC для оплаты.\r\nПосле завершения платежа в размере $1000 в биткойнах отправьте еще одно email на адрес\r\nofficialintuitsoftware@gmail.com с темой \"PAID\".\r\nМы проверим, внесена ли оплата.\r\nПримечание: если вы сделаете платеж в течение 2 дней, комиссия будет снижена вдвое, то есть $500 в биткойнах.\r\n3. Вы получите текстовый файл с КЛЮЧОМ, который разблокирует все ваши файлы. У вас есть 2 дня с\r\nсегодняшнего дня - 27 августа 2020\r\nВАЖНО: Чтобы расшифровать файлы, поместите текстовый файл на рабочий стол и подождите. Вскоре после\r\nэтого начнут расшифровываться все файлы.\r\nПРЕДУПРЕЖДЕНИЕ:\r\nНЕ пытайтесь расшифровать ваши файлы с помощью какой-то программы, так как оно устарело и не будет\r\nработать, а распаковка файлов может стоить вам больше.\r\nНЕ изменяйте имена файлов, не связывайтесь с файлами и не запускайте программы для дешифрования, так как\r\nразблокировка файлов будет стоить вам дороже, и ваши файлы могут быть потеряны навсегда.\r\nНЕ отправляйте \"PAID\" без оплаты, цена за непослушание удвоится.\r\nНЕ думайте, что мы не оставим ваши файлы зашифрованными навсегда, потому что мы \"\r\nНе знаете, что такое BTC? Посетите https://bitcoin.org\r\nТакже используется файл EMAIL_US.txt, который нужно отправить вымогателям. \r\nТакже используется изображение background_img.png, заменяющее обои Рабочего стола. Текста нет, видимо\r\nкартинка просто понравилась вымогателям и они её приложили вместо обычного текста. \r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и\r\nвредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nhttps://id-ransomware.blogspot.com/2020/08/cyrat-ransomware.html\r\nPage 3 of 7\n\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы\r\nделайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Вредоносная программа вылетает из-за проблемы с Pyfiglet. \r\n➤ Скачивает публичный ключ из MediaFire.\r\n➤ Выдает себя за инструмент исправления DLL. \r\n \r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.123, .3dm, .3ds, .3g2, .3gp, .3gp, .602, .7z, .accdb, .aes, .ai, .asf, .asm, .asp, .backup, .bak, .bat, .bmp, .boop, .brd, .bz2,\r\n.c, .class, .cmd, .cs, .csr, .css, .csv, .db, .dbf, .dch, .deb, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,\r\n.dwg, .edb, .eml, .exe, .flv, .frm, .gif, .gpg, .gz, .h, .html, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .json, .jsp, .key, .lay, .lay6,\r\n.ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mml, .MP2, .MP2, .mp3, .mp3, .mp3, .MPE, .MPE, .mpeg, .mpeg, .MPEG,\r\n.MPEG, .mpg, .MPG, .MPV, .MPV, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .OGG, .OGG, .onetoc2, .ost, .otg,\r\n.otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx,\r\n.ps1, .psd, .pst, .py, .rar, .raw, .rb, .rtf, .sh, .sldm, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw,\r\n.suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob,\r\n.vsd, .vsdx, .wav, .wb2, .WEBM, .wk1, .wks, .wma, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (188\r\nрасширений). \r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы\r\nобразов, архивы и пр.\r\nВ списке есть еще 8 расширений: .ARC, .asc, .cgm, .cpp, .crt, .fla, .js, .sch, которые из-за ошибки в коде не будут\r\nнайдены. \r\nhttps://id-ransomware.blogspot.com/2020/08/cyrat-ransomware.html\r\nPage 4 of 7\n\nСписок целевых директорий:\r\n\"Рабочий стол\", \"Загрузки\", \"Изображения\", \"Музыка\", \"Видео\", \"Документы\"\r\nФайлы, связанные с этим Ransomware:\r\nRANSOME_NOTE.txt  - название файла с требованием выкупа;\r\nEMAIL_US.txt - специальный файл, в который сохраняется зашифрованный ключ Fernet; \r\nbackground_img.png - изображение заменяющее обои Рабочего стола;\r\nkey.txt\r\npub_key.pem\r\n\u003crandom\u003e.exe - случайное название вредоносного файла.\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nИнтересный стринг:\r\n\u003eoVovoNono^o~oAoaoQoqoIoioYoyoEoeoUouoMomo]o}oCocoSosoKoko[o{oGo'o\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nURL изображения:\r\nhttps://images.idgesg.net/images/article/2020/05/ransomware_attack_worried_businessman_by_andrey_popov_gettyimages-1199291222_cso_2400x1600-100840844-large.jpg\r\nEmail: officialintuitsoftware@gmail.com\r\nBTC:\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nhttps://id-ransomware.blogspot.com/2020/08/cyrat-ransomware.html\r\nPage 5 of 7\n\n🔻 Triage analysis \u003e\u003e\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nЕщё не было обновлений этого варианта.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as Cyrat)\r\n Write-up, Topic of Support\r\n *\r\nhttps://id-ransomware.blogspot.com/2020/08/cyrat-ransomware.html\r\nPage 6 of 7\n\nThanks:\r\n Karsten Hahn, Michael Gillespie\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/08/cyrat-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/08/cyrat-ransomware.html\r\nPage 7 of 7\n\n➤ Выдает себя Список файловых за инструмент исправления расширений, DLL. подвергающихся шифрованию:    \n.123, .3dm, .3ds, .3g2, .3gp, .3gp, .602, .7z, .accdb, .aes, .ai, .asf, .asm, .asp, .backup, .bak, .bat, .bmp, .boop, .brd, .bz2,\n.c, .class, .cmd, .cs, .csr, .css, .csv, .db, .dbf, .dch, .deb, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,\n.dwg, .edb, .eml, .exe, .flv, .frm, .gif, .gpg, .gz, .h, .html, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .json, .jsp, .key, .lay, .lay6,\n.ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mml, .MP2, .MP2, .mp3, .mp3, .mp3, .MPE, .MPE, .mpeg, .mpeg, .MPEG,\n.MPEG, .mpg, .MPG, .MPV, .MPV, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .OGG, .OGG, .onetoc2, .ost, .otg,\n.otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx,\n.ps1, .psd, .pst, .py, .rar, .raw, .rb, .rtf, .sh, .sldm, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw,\n.suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob,\n.vsd, .vsdx, .wav, .wb2, .WEBM, .wk1, .wks, .wma, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (188\nрасширений).       \nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы\nобразов, архивы и пр.      \nВ списке есть еще 8 расширений: .ARC, .asc, .cgm, .cpp, .crt, .fla, .js, .sch, которые из-за ошибки в коде не будут\nнайдены.       \n   Page 4 of 7",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/08/cyrat-ransomware.html"
	],
	"report_names": [
		"cyrat-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775439003,
	"ts_updated_at": 1775791279,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/bcca3bd9d48d5e707898fb824ac1b7ea3e2ef53f.pdf",
		"text": "https://archive.orkl.eu/bcca3bd9d48d5e707898fb824ac1b7ea3e2ef53f.txt",
		"img": "https://archive.orkl.eu/bcca3bd9d48d5e707898fb824ac1b7ea3e2ef53f.jpg"
	}
}