# MedusaLocker

**[id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html](http://id-ransomware.blogspot.com/2019/10/medusalocker-ransomware.html)**

## MedusaLocker Ransomware

### (шифровальщик-вымогатель) (первоисточник)
 Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем
требует написать на email вымогателей, чтобы заплатить выкуп, получить программу дешифровки и
вернуть файлы. Оригинальное название: в записке не указано. На файле проекта написано:
MedusaLocker.pdb. В реестре создается раздел "Medusa".

--
**Обнаружения:**

**DrWeb -> Trojan.DownLoader30.26418, Trojan.DownLoader30.27698, Trojan.Encoder.30026**

**BitDefender -> Trojan.GenericKD.32594787, Trojan.GenericKD.41882000**

**Malwarebytes -> Ransom.Medusa**

**ESET-NOD32 -> A Variant Of Win32/Filecoder.MedusaLocker.C**

**GData -> Win32.Trojan-Ransom.Filecoder.BO**

**Microsoft -> Trojan:Win32/Bluteal!rfn**

**Symantec -> Trojan.Gen.2, Trojan.Gen.MBT**

**TrendMicro -> Ransom.Win32.MEDUSALOCKER.A**

**Kaspersky -> Trojan.Win32.DelShad.azp, Trojan-Ransom.Win32.Medusa.g**

--
**© Генеалогия: MedusaLocker**

Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение .encrypted

По другим данным известны варианты со следующими расширениями:

**.bomber**

**.boroff**

**.breakingbad**

**.locker16**


-----

**.newlock**
**.nlocker**
**.skynet**

**Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.**
Там могут быть различия с первоначальным вариантом.

Первые образцы были обнаружены в конце сентября, но активность этого крипто-вымогателя
пришлась на начало октября 2019 г. Штамп времени создания файла: 5 октября 2019. Ориентирован
на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:
**HOW_TO_RECOVER_DATA.html**

Первый вариант записки

Второй вариант записки (другие email-адреса)

**Содержание записки о выкупе:**
All your data are encrypted!
What happened?
Your files are encrypted, and currently unavailable.


-----

You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
Folieloi@protonmail.com
If you will get no answer within 24 hours contact us by our alternate emails:
Ctorsenoria@tutanota.com
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:

[id]
Attention!

- Attempts of change files by yourself will result in a loose of data.

- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.

- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.

- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of
data.

- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data,
cause just we have the private key.

**Перевод записки на русский язык:**
Все ваши данные зашифрованы!
Что случилось?
Ваши файлы зашифрованы и теперь недоступны.
Вы можете проверить это: все файлы на вашем компьютере имеют новое расширение.
Кстати, все можно вернуть (восстановить), но нужно купить уникальный расшифровщик.
Иначе вы никогда не сможете вернуть свои данные.
Для покупки дешифратора свяжитесь с нами по email:
sambolero@tutanoa.com
Если вы не получите ответ за 24 часа, свяжитесь с нами по email:
rightcheck@cock.li
Какие гарантии?
Это просто бизнес. Если мы не будем выполнять свою работу и обязательства - никто не будет с
нами сотрудничать.
Для проверки возможности восстановления ваших файлов мы можем бесплатно расшифровать 1
файл.
Прикрепите 1 файл к письму (не более 10 Мб). Укажите свой личный ID в письме:

[id]
Внимание!

- Попытки самостоятельно изменить файлы приведут к потере данных.

- Наш email может быть заблокирован с течением времени. Напишите сейчас, потеря связи с нами
приведет к потере данных.

- Использование любой сторонней программы для восстановления ваших данных или антивирусных
решений приведет к потере данных.

- Расшифровщики других пользователей уникальны и не будут соответствовать вашим файлам, и их
использование приведет к потере данных.

- Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы
потеряете свое время и данные, потому что только у нас есть закрытый ключ.


-----

**Технические детали**

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью emailспама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы,
веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также
"Основные способы распространения криптовымогателей" на [вводной странице блога.](https://id-ransomware.blogspot.ru/2016/05/blog-post.html)

Нужно всегда использовать [Актуальную антивирусную защиту!!!](https://anti-ransomware.blogspot.com/2019/02/topical-protection.html)
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total
Security, то хотя бы делайте резервное копирование важных файлов по [методу 3-2-1.](https://id-ransomware.blogspot.ru/2016/11/sposoby-zashhity-ot-shifrovalshhikov-vymogatelej.html)

➤ Использует технологию обхода консоли учетных записей (Bypass UAC) с помощью интерфейса
CMSTPLUA COM. Схема из [твита Vitali Kremez.](https://twitter.com/VK_Intel/status/1195752632666804225)

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на
этапе загрузки командами:
vssadmin.exe Delete Shadows /All /Quiet
wmic.exe SHADOWCOPY /nointeractive
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest

➤ Стремится завершить следующие процессы, чтобы убедиться, что все файлы данных закрыты и
ничто не мешает шифрованию файлов:
wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, sqlservr, sqlagent, sqladhlp, Culserver, RTVscan,
sqlbrowser, SQLADHLP, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv,
tomcat6, zhudongfangyu, SQLADHLP, vmware-usbarbitator64, vmware-converter, dbsrv12,
dbeng8, wxServer.exe, wxServerView, sqlservr.exe, sqlmangr.exe, RAgui.exe, supervise.exe, Culture.exe,
RTVscan.exe, Defwatch.exe, sqlbrowser.exe, winword.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe,


-----

QBCFMonitorService.exe, axlbridge.exe, QBIDPService.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe,
tomcat6.exe, java.exe, 360se.exe, 360doctor.exe, wdswfsafe.exe, fdlauncher.exe, fdhost.exe, GDscan.exe,
ZhuDongFangYu.exe

Вдобавок к этому использует функционал Windows Restart Manager (менеджер перезагрузки), чтобы
получить доступ к наибольшему количеству файлов и зашифровать их.

➤ MedusaLocker создаёт новый ключ в реестре для хранения своего имени файла, но не пути к
нему. Это значение сохраняется в: HKEY_CURRENT_USER\SOFTWARE\MDSLK\Self. Неизвестно
насколько это важно для работы вредоносной программы, но MDSLK — это похоже на сокращение
от MeDuSa LocKer. Подобные ключи использовались и другими шифровальщиками для определения
того, была ли машина инфицирована ранее другой версией шифровальщика.

**Подробности о шифровании:**
При шифровании файлов будет использовано шифрование AES для шифрования каждого файла, а
затем ключ AES будет зашифрован открытым ключом RSA-2048, включенным в исполняемый файл
Ransomware.

**Список файловых расширений, подвергающихся шифрованию:**
Многие популярные форматы.
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии,
музыка, видео, файлы образов, архивы и пр.

**При шифровании пропускаются файлы с расширениями:**
.exe, .dll, .sys, .ini, .lnk, .rdp, .encrypted, .bomber, .boroff, .breakingbad, .locker16, .newlock, .nlocker,
.skynet

**При шифровании пропускаются следующие папки с файлами:**
USERPROFILE
PROGRAMFILES(x86)
ProgramData
\AppData
WINDIR
\Application Data
\Program Files
\Users\All Users
\Windows
\intel
\nvidia

После шифрования MedusaLocker "спит" 60 секунд, затем снова начинает сканирование дисков ПК
на наличие незашифрованных и новых файлов.


-----

Вырезки из кода с описанными параметрами

**Файлы, связанные с этим Ransomware:**
HOW_TO_RECOVER_DATA.html
Readme.html
svchostt.exe
svchostt
l.bat
<random>.exe - случайное название вредоносного файла
MedusaLocker.pdb

**Расположения:**
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%UserProfile%\AppData\Roaming\svchostt.exe
C:\Windows\System32\Tasks\svchostt

**Оригинальное название проекта:**
C:\Users\Gh0St\Desktop\MedusaLockerInfo\MedusaLockerProject\MedusaLocker\Release\MedusaLocker.pdb

**Записи реестра, связанные с этим Ransomware:**
HKCU\SOFTWARE\Medusa
HKCU\SOFTWARE\Medusa\Name  s
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "EnableLinkedConnections" = 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA  0
HKEY_CURRENT_USER\SOFTWARE\MDSLK\Self

См. ниже результаты анализов.

**Сетевые подключения и связи:**
Email-1: Folieloi@protonmail.com, Ctorsenoria@tutanota.com
Email-2: sambolero@tutanoa.com, rightcheck@cock.li


-----

BTC: См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

**Результаты анализов:**
Ⓗ **[Hybrid analysis >>](https://www.hybrid-analysis.com/sample/3a5b015655f3aad4b4fd647aa34fda4ce784d75a20d12a73f8dc0e0d866e7e01/5dafa2810388385403bb09a3)**

🐞 **[Intezer analysis >>](https://analyze.intezer.com/#/analyses/aa222bc2-b772-4b74-bd4b-b2125bf3aff1)**

ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
� MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

**=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===**

**Вариант от 16 октября 2019:**
[Пост в Твиттере >>](https://twitter.com/malwrhunterteam/status/1184426135049912320)
Расширение: .skynet
Записка: Readme.html

**Вариант от 19 октября 2019:**
[Пост в Твиттере >>](https://twitter.com/VK_Intel/status/1185571713221660673)
Список части функционала.


-----

**Вариант от 22 октября 2019:**
[Топик на форуме >>](https://support.emsisoft.com/topic/32010-unknow-ransomware/)
Расширение: .encrypted
Записка: HOW_TO_RECOVER_DATA.html
Email: crypt2020@outlook.com, cryptt2020@protonmail.com

➤ Содержание записки:
Your files are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
crypt2020@outlook.com
If you will get no answer within 24 hours contact us by our alternate emails:
cryptt2020@protonmail.com
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
180DEF11957324D2AA7F08C25D3BA34663DCD79CAA***. [1024 знака и точка]
Attention!
? Attempts of change files by yourself will result in a loose of data.
? Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.
? Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
? Decryptors of other users are unique and will not fit your files and use of those will result in a loose of
data.
? If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data,
cause just we have the private key.

**Предположительное обновление от 28 октября 2019:**
[Пост в Твиттере >>](https://twitter.com/Amigo_A_/status/1189621282737938432)
Расширение: .decrypme


-----

Записка: HOW_TO_OPEN_FILES.html
Email: decoder83540@protonmail.com, decoder83540@cock.li

**Вариант от 30 октября 2019:**
[Пост в Твиттере >>](https://twitter.com/fbgwls245/status/1189508868088295424)
[Пост в Твиттере >>](https://twitter.com/petrovic082/status/1189526378179375120)
Расширение: .decrypme
Записка: HOW_TO_OPEN_FILES.html
Email: mrromber@cock.li, mrromber@tutanota.com
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/49da42d00cc3ad6379ead2e07fd5f09bd358b144a6e78aad4bb1a8298e2bb568/detection) **[AR /](https://app.any.run/tasks/8c910955-d620-4498-9ea4-620df129c1cc/)** **[VT +](https://www.virustotal.com/gui/file/6c7eda3f5e9bbc685b0eefde2a51f0ccb06ad33805e617876a5124410cac9945/detection)** **[AR](https://app.any.run/tasks/26929e90-487f-4411-84eb-66421a7454e0/)**

➤ Содержание записки:
All your data are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
mrromber@cock.li
If you will get no answer within 24 hours contact us by our alternate emails:
mrromber@tutanota.com
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.


-----

To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
494BE5A953057552DF16891CD4EB271C1356F888C8C98FA80785*** [всего 1024 знака]
Attention!

- Attempts of change files by yourself will result in a loose of data.

- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.

- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.

- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of
data.

- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data,
cause just we have the private key.

**Вариант от 5-10 ноября 2019:**
[Пост на форуме >>](https://www.bleepingcomputer.com/forums/t/706555/medusalocker-support-help-topic-encrypted-how-to-recover-datahtml/page-2#entry4900319)
Расширение: .ReadTheInstructions
Email: fartcool@protonmail.ch, bestcool@keemail.me
Записка: INSTRUCTIONS.html

➤ Содержание записки:
All your data are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
fartcool@protonmail.ch
If you will get no answer within 24 hours contact us by our alternate emails:
bestcool@keemail.me
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
D86B576A7CE932E7ADC143B9480C931EBC9AF8625CEF5*** [всего 1024 знака]
Attention!

- Attempts of change files by yourself will result in a loose of data


-----

- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.

- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.

- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of
data.

- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data,
cause just we have the private key.

**Вариант от 11-12 ноября 2019:**
[Пост в Твиттере >>](https://twitter.com/HuntressLabs/status/1193914154668744704)
Расширение: .ReadTheInstructions
Email: rdp_unlock@outlook.com, rdpunlock@cock.li
Записка: INSTRUCTIONS.html
[Результаты анализов: VT](https://www.virustotal.com/gui/file/36baceccfe27fb8b1be3d4f0a9e81b9028640aeedf068d71b3a6d080e698a793/detection)

**Вариант от 14 ноября 2019:**
[Пост на форуме >>](https://www.bleepingcomputer.com/forums/t/706555/medusalocker-support-help-topic-encrypted-how-to-recover-datahtml/?p=4903249)
Расширение: .ReadTheInstructions
Email: sypress@tutanota.com, sypresss@protonmail.com
Записка: INSTRUCTIONS.html

➤ Содержание записки:
All your data are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.


-----

By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
sypress@tutanota.com
If you will get no answer within 24 hours contact us by our alternate emails:
sypresss@protonmail.com
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
A7EA72ACBFB3EE64E58408796B07B7DF746BD57984B *** [всего 1024 знака]
Attention!

- Attempts of change files by yourself will result in a loose of data.

- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.

- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.

- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of
data.

- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data,
cause just we have the private key.

**Вариант от 15 ноября 2019:**
[Пост в Твиттере >>](https://twitter.com/VK_Intel/status/1195752632666804225)
UAC bypass using CMSTPLUA COM
Использует обход UAC с помощью интерфейса CMSTPLUA COM

**Вариант от 20 ноября 2019:**
[Топик на форуме >>](https://www.bleepingcomputer.com/forums/t/708210/)
Расширение: .ReadTheInstructions
Email: crypt2020@outlook.com, cryptt2020@protonmail.com
Записка: INSTRUCTIONS.html
Результаты анализов: VT


-----

**Вариант от 25 декабря 2019:**
[Топик на форуме >>](https://www.bleepingcomputer.com/forums/t/710290/)
Расширение: .READINSTRUCTIONS
Записка: RECOVER_INSTRUCTIONS.html
Email: 777decoder777@protonmail.com, 777decoder777@tfwno.gf

➤ Содержание записки:
All your data are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
777decoder777@protonmail.com
If you will get no answer within 24 hours contact us by our alternate emails:
777decoder777@tfwno.gf
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
041786A32071FD1D5BF472AE737A831C3F0EEABE36F5D5998DB4E8F377*** [всего 1024 знака]
Attention!

- Attempts of change files by yourself will result in a loose of data.


-----

- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.

- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.

- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of
data.

- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data,
cause just we have the private key.
**Вариант от 25 декабря 2019:**
Расширение: .ReadInstructions
Записка: Recovery_Instructions.html
Email: AndrewMiller-1974@protonmail.com
BrianSalgado@protonmail.com

➤ Содержание записки:
YOUR PERSONAL ID:
457CF0616667D9882D479D1F01E094187F20A5B6D0AA88A505 [всего 1024 знаков]
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
ALL YOUR IMPORTANT FILES HAVE BEEN ENCRYPTED!
YOUR FILES ARE SAFE! JUST MODIFIED ONLY. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMENANTLY DESTROY YOUR FILE.
DO NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES.
NO SOFTWARE AVAILABLE ON INTERNET CAN HELP YOU. WE ONLY HAVE
SOLUTION TO YOUR PROBLEM.
WE GATHERED HIGHLY CONFIDENTIAL/PERSORNAL DATA. THESE DATA
ARE CURRENTLY STORED ON A PRIVATE SERVER. THIS SERVER WILL BE
IMMEDIATELY DESTROYED AFTER YOUR PAYMENT. WE ONLY SEEK MONEY
AND DO NOT WANT TO DAMAGE YOUR REPUTATION. IF YOU DECIDE TO
NOT PAY, WE WILL RELEASE THIS DATA TO PUBLIC OR RE-SELLER.
YOU WILL CAN SEND US 2-3 NON-IMPORTANT FILES AND WE WILL
DECRYPT IT FOR FREE TO PROVE WE ARE ABLE TO GIVE YOUR FILES
BACK.
CONTACT US FOR PRICE (BITCOIN) AND GET DECRYPTION SOFTWARE.
AndrewMiller-1974@protonmail.com
BrianSalgado@protonmail.com
MAKE CONTACT AS SOON AS POSSIBLE. YOUR DECRYPTION KEY IS ONLY STORED
TEMPORARLY. IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.


-----

WE GATHERED HIGHLY CONFIDENTIAL/PERSORNAL DATA. THESE DATA ARE CURRENTLY
STORED ON A PRIVATE SERVER. THIS SERVER WILL BE IMMEDIATELY DESTROYED AFTER
YOUR PAYMENT. WE ONLY SEEK MONEY AND DO NOT WANT TO DAMAGE YOUR REPUTATION.
IF YOU DECIDE TO NOT PAY, WE WILL RELEASE THIS DATA TO PUBLIC OR RE-SELLER.

**=== 2020 ===**

**Вариант от 15 января 2020:**
[Пост в Твиттере >>](https://twitter.com/malwrhunterteam/status/1217380430015418369)

Видимо тот же самый вариант от 25 декабря 2019.

**Вариант от 18 февраля 2020:**
[Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1230040318273368064)
Расширение: .networkmaze
Записка: READINSTRUCTION.html
Email: berstife@gmail.com, best@desharonline.top
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/590ea5fa2db24715d72c276c59434b38d21678d6dcabb41f0e370f6dc56ab26b/detection) **[VMR](https://www.vmray.com/analyses/590ea5fa2db2/report/overview.html)**

**Вариант от 22 февраля 2020:**
[Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1231559956677132289)
Расширение: .ReadInstructions
Записка: Recovery_Instructions.html
Email: malieholtan@protonmail.com, emergency911service@outlook.com
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/6b9ca4cbb68f23e164625614d9d074b7bb9e2c5aeb429034ed4d6440594ce64e/detection) **[IA +](https://analyze.intezer.com/#/files/6b9ca4cbb68f23e164625614d9d074b7bb9e2c5aeb429034ed4d6440594ce64e)** **[VMR](https://www.vmray.com/analyses/6b9ca4cbb68f/report/overview.html)**

**Вариант от 7 апреля 2020:**
Расширение: .deadfiles

**Вариант от 8 апреля 2020:**
Расширение: .abstergo


-----

Записка: HOW_TO_RECOVER_DATA.html
Email: mrromber@tutanota.com, mrromber@cock.lii

➤ Содержание записки:
YOUR PERSONAL ID:
B1B801EF63CAAEC7233CE2C770EFAA59139F2E829BF8665DC6B44EC3 [всего 1024 знаков]
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
ALL YOUR IMPORTANT FILES HAVE BEEN ENCRYPTED!
YOUR FILES ARE SAFE! JUST MODIFIED ONLY. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMENANTLY DESTROY YOUR FILE.
DO NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES.
NO SOFTWARE AVAILABLE ON INTERNET CAN HELP YOU. WE ONLY HAVE
SOLUTION TO YOUR PROBLEM.
WE GATHERED HIGHLY CONFIDENTIAL/PERSORNAL DATA. THESE DATA
ARE CURRENTLY STORED ON A PRIVATE SERVER. THIS SERVER WILL BE
IMMEDIATELY DESTROYED AFTER YOUR PAYMENT. WE ONLY SEEK MONEY
AND DO NOT WANT TO DAMAGE YOUR REPUTATION. IF YOU DECIDE TO
NOT PAY, WE WILL RELEASE THIS DATA TO PUBLIC OR RE-SELLER.
YOU WILL CAN SEND US 2-3 NON-IMPORTANT FILES AND WE WILL
DECRYPT IT FOR FREE TO PROVE WE ARE ABLE TO GIVE YOUR FILES
BACK.
CONTACT US FOR PRICE (BITCOIN) AND GET DECRYPTION SOFTWARE.
mrromber@tutanota.com
mrromber@cock.lii
MAKE CONTACT AS SOON AS POSSIBLE. YOUR DECRYPTION KEY IS ONLY STORED
TEMPORARLY. IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

**Вариант от 4 мая 2020:**
[Топик на форуме >>](https://www.bleepingcomputer.com/forums/t/718624/)
Расширение: .himynameisransom
Записка: HOW_TO_RECOVER_DATA.html
Email: decoderforyou@protonmail.com
decoderforyou@cock.li


-----

**Вариант от 18 мая 2020:**
[Пост на форуме >>](https://www.bleepingcomputer.com/forums/t/608858/id-ransomware-identify-what-ransomware-encrypted-your-files/?p=4995353)
Расширение: .ReadInstructions
Записка: Recovery_Instructions.html
Email: supp0rtdecrypti0n@protonmail.com

➤ Содержание записки:
YOUR PERSONAL ID:
D59994A63BC1F4AEF34D04BA61832D50DF5E42049366B8667 [всего 1024 знаков]
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!
Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
No software available on internet can help you. We are the only ones able to
solve your problem.
We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..
We only seek money and our goal is not to damage your reputation or prevent
your business from running


-----

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.
Contact us for price and get decryption software.
{{URL}}

- Note that this server is available via Tor browser only
Follow the instructions to open the link:
1. Type the addres "https://www.torproject.org" in your Internet browser. It opens the Tor site.
2. Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.
3. Now you have Tor browser. In the Tor Browser open "{{URL}}".
4. Start a chat and follow the further instructions.
If you can not use the above link, use the email:
supp0rtdecrypti0n@protonmail.com
Make contact as soon as possible. Your private key (decryption key)
is only stored temporarily.
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

**Вариант от 30 мая 2020:**
[Пост в Твиттере >>](https://twitter.com/raby_mr/status/1277868942015344640)
Расширение: .VinDizelPux
Записка: Recovery_Instructions.html
Email: dec_helper@outlook.com, dec_helper@excic.com
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/58290a95e1795ec7312e4ce26bfff7e0fb7a620a3aac2627d3ae6c83f5a4bf60/detection) **[HA +](https://www.hybrid-analysis.com/sample/58290a95e1795ec7312e4ce26bfff7e0fb7a620a3aac2627d3ae6c83f5a4bf60/5efac3b37ad3d217d965906d)** **[VMR +](https://www.vmray.com/analyses/58290a95e179/report/overview.html)** **[IA +](https://analyze.intezer.com/#/files/58290a95e1795ec7312e4ce26bfff7e0fb7a620a3aac2627d3ae6c83f5a4bf60)** **[AR](https://app.any.run/tasks/4df0221d-ea86-4e43-b5ba-45d98b253385)**

**Вариант от 12 июня 2020 или раньше:**
[Пост в Твиттере >>](https://twitter.com/Amigo_A_/status/1271748921002471425)
Расширение: .EG
Записка: Recovery_Instructions.html
Email: dec_helper@dremno.com, dec_helper@excic.com
Сумма: 1 BTC
BTC: 1BkmiGWPLum8MzusqZsq6Tn7v4oUjqPLjC
Tor-URL: http://gvlay6u4g53rxdi5.onion/***

**Вариант от 29 июня 2020:**


-----

[Пост в Твиттере >>](https://twitter.com/raby_mr/status/1277513528065134592)
Расширение: .support
Записка: Recovery_Instructions.html
Email: dec_restore@protonmail.com, decrestore@cock.li
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/8597f458f1dcc5ecdf209d9c98b1f72c2fce2486236a3ae73adbe26fb6f9c671/detection) **[AR](https://app.any.run/tasks/a0b034f8-9a87-4caa-bc8d-be6ebb635683/)**

**Вариант от 29 июля 2020:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1288535296141922304)
Расширение: .deadfiles
Записка: HOW_TO_RECOVER_DATA.html
Email: rescuerr@protonmail.com, rescuer@cock.li

**Вариант от 8 сентября 2020:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1303417874426540039)
Расширение: .networkmaze
Записка: HOW_TO_RECOVER_DATA.html

**Вариант от 12 сентября 2020 или раньше:**
[Топик на форуме >>](https://www.inforge.net/forum/threads/server-infettato-da-ransomware-come-fare.596419/)
[Топик на форуме >>](https://www.bleepingcomputer.com/forums/t/734614/ransomware-spartanvladimir60mailru/)
Расширение: .spartanvladimir60@mail.ru

Email: spartanvladimir60@mail.ru
Сумма выкупа: $10000

**Вариант от 28 сентября 2020:**
[Пост в Твиттере >>](https://twitter.com/M_Shahpasandi/status/1310499025746038784)
Расширенеие: .lr
Email: bitcoin@mobtouches.com
bitcoin@sitesoutheat.com
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/bae48fe24d140f4c1c118edbfaee4ab6446c173a0d0b849585a88db3f38f01b8/detection) **[IA +](https://analyze.intezer.com/analyses/a9c57a9b-4cc4-4e18-9a33-d32caadecf37)** **[AR](https://app.any.run/tasks/1e9b7709-8ef3-44ce-84e6-057b8cfff653/)**


-----

**Вариант от 27 января 2021:**
[Сообщение >>](https://twitter.com/Kangxiaopao/status/1354344704037408772)
Расширение: .divsouth
Email: support@welchallym.com, support@bigweatherg.com

**Вариант от 31 января 2021:**
[Сообщение >>](https://twitter.com/Jirehlov/status/1356543347909791745)
[Идентификация на сайте IDR >>](https://id-ransomware.malwarehunterteam.com/identify.php?case=43fdba01b27c9e13adb66c0223fd7b75fc3d5db1)
Расширение: .ReadInstructions
Записка: Recovery_Instructions.txt
Email: felleskatalogen@protonmail.com
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/0dd34e1326f18ab113be5ec91003577845f62ce25bbed8f92bff0b4077fe45da/detection) **[HA +](https://www.hybrid-analysis.com/sample/0dd34e1326f18ab113be5ec91003577845f62ce25bbed8f92bff0b4077fe45da/601c3fe3034dee6690232e80)** **[TG](https://tria.ge/210217-6k9bf8hnla/behavioral1)**

➤ Содержание записки:

## YOUR NETWORK HAS BEEN COMPROMISED ##
-----------------------------------------All your important files have been encrypted!
------------------------------------------------Your files are safe! Only modified.
ANY ATTEMPT TO RESTORE A FILE WITH THIRD-PARTY SOFTWARE WILL PERMANENTLY
CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.


-----

No software available on internet can help you. We are the only ones able to solve your problem.
We gathered data from different segment of your network. These data are currently stored on a private
server and will be immediately destroyed after your payment.
If you decide to not pay, we will keep your data stored and contact press or re-seller or expose it on our
partner's website.
We only seek money and do not want to damage your reputation or prevent your business from running.
If you take wise choice to pay, all of this will be solved very soon and smoothly.
You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your
files back.
--------------------------------------------------------Contact us for price.
felleskatalogen@protonmail.com
---------------------------------------------------------Make contact as soon as possible.
If you don't contact us within 72 hours, price will be higher.

**Вариант от 12-13 февраля 2021:**
[Сообщение >>](https://twitter.com/Kangxiaopao/status/1362371850475499521)
Расширение: .lockfilesCO
Расширение: .lockfilesKR
Email: helper@atacdi.com, helper@buildingwin.com
Recovery_Instructions.html
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/2c374ad55d30b475e761bacce9dd65b34b20705b787f35612b83d04fad34fab8/detection) **[VT](https://www.virustotal.com/gui/file/047afef95d0db82439c20da0bcd544af6d4b670f1417d7a4d51c940588d5e74c/detection)**

Вариант от 6 марта 2021 (предположительное родство):
[Сообщение >>](https://twitter.com/fbgwls245/status/1368491652839436290)
Расширение: .1btc
Шифрование: AES-256 + RSA-2048 + ChaCha
Записка: !!!HOW_TO_DECRYPT!!!.mht
Список файлов: README_LOCK.TXT
Email: cmd@jitjat.org, dirhelp@keemail.me
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31/detection) **[TG](https://tria.ge/210307-shwzbwnwz2)**


-----

**Вариант от 28 апреля 2021:**
[Пост на форуме >>](https://www.bleepingcomputer.com/forums/t/644166/globeimposter-ransomware-support-crypt-pscrypt-ext-back-fileshtml/?p=5176097)
Записка: Recovery_Instructions.html
helper2@aveuva.com, helper2@biehes.com
BTC: [1PormUgPR72yv2FRKSVY27U4ekWMKobWjg](https://www.blockchain.com/btc/address/1PormUgPR72yv2FRKSVY27U4ekWMKobWjg)
Tor-URL: http://gvlay6u4g53rxdi5.onion/*

**Вариант от 30 мая 2021:**
[Топик на форуме >>](https://www.bleepingcomputer.com/forums/t/752485/)
Расширение: .Readinstruction
Email: ithelpconcilium@tutanota.com, nicolasmarvinlor@outlook.com


-----

**Вариант от 7 декабря 2021:**
[Сообщение >>](https://twitter.com/Kangxiaopao/status/1468050230931521536)
Расшиение: .lockfile
Записка: HOW_TO_RECOVER_DATA.html
Email: rapid@aaathats3as.com, rpd@keemail.me

**=== 2022 ===**

**Вариант от 14 апреля 2022:**
[Сообщение >>](https://twitter.com/pcrisk/status/1514932519275220995)
Расширение: .stopfiles
Записка: Recovery_Instructions.html
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/2ca49be7f3eac14dfbf086ad11ce1235079b4fa96b7d8634a53403cfcf592969/detection) **[IA](https://analyze.intezer.com/analyses/4c6f9270-2eee-475c-a9bb-fbdf623dacdb)**
Обнаружения:
DrWeb -> Trojan.Encoder.35226
BitDefender -> Generic.Ransom.MedusaLocker.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.MedusaLocker
Rising -> Ransom.MedusaLocker!1.C21A (CLOUD)
TrendMicro -> Ransom.Win32.MEDUSALOCKER.SMTH

**=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===**


-----

```
       Added later:
TAU Threat Analysis: Medusa Locker Ransomware (June 03, 2020)
*
*
 - видеообзор от CyberSecurity GrujaRS
        Thanks: 
 CyberSecurity GrujaRS, dnwls0719, Michael Gillespie
 Andrew Ivanov (author)
 Lawrence Abrams, MalwareHunterTeam, Vitali Kremez
 to the victims who sent the samples

```
© Amigo-A (Andrew Ivanov): All blog articles.

```
https://youtu.be/Mw6A1mtMWwI

```

-----