{
	"id": "2b517a75-c760-4d95-90ee-e9a6cad3c7eb",
	"created_at": "2026-04-06T00:08:57.832711Z",
	"updated_at": "2026-04-10T03:20:33.434986Z",
	"deleted_at": null,
	"sha1_hash": "c2ced94667eaa632feb3286ee57f8ba894c6086a",
	"title": "Rektware",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 203488,
	"plain_text": "Rektware\r\nArchived: 2026-04-05 20:46:04 UTC\r\nRektware Ransomware\r\nPRZT Ransomware\r\n(шифровальщик-НЕ-вымогатель)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть\r\nфайлы. Оригинальное название: rektware. На файле написано: нет данных. Возможно, находится в\r\nразработке. Написан на AutoIt.\r\n---\r\nОбнаружение: \r\nDrWeb -\u003e Trojan.Encoder.30003, Trojan.MulDrop6.37395\r\nBitDefender -\u003e Trojan.Ransom.Rektware.A\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.NQF, Win32/Filecoder.G\r\nMalwarebytes -\u003e Ransom.Rektware\r\nSophos AV -\u003e Mal/AutoIt-AK\r\nSymantec -\u003e Downloader, Trojan Horse\r\nTencent -\u003e Win32.Trojan.Raas.Auto, Win32.Trojan.Gen.Ajcb\r\nTrendMicro -\u003e Ransom_KILLRABBIT.THAOOAAH\r\n---\r\n© Генеалогия: Rektware \u003e новые варианты после статьи\r\nИзображение принадлежит шифровальщику\r\nhttps://id-ransomware.blogspot.com/2018/09/rektware-ransomware.html\r\nPage 1 of 5\n\nК зашифрованным файлам добавляется случайное расширение, например:  \r\n.CQScSFy\r\n.2PWo3ja\r\nВместе с переименованием файлы получают номера. \r\nТак выглядят зашифрованные файлы\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру.\r\nЗапиской с требованием выкупа выступает файл FIXPRZT.PRZ\r\nСодержание записки о выкупе:\r\nContactID: MG9r9awS9V Send E-mail: rektware@inbox.ru\r\n(FreeDecryptAllYourFiles)\r\nПеревод записки на русский язык:\r\nContactID: MG9r9awS9V отправь на E-mail: rektware@inbox.ru\r\n(Бесплатное дешифрование всех твоих файлов)\r\nТехнические детали\r\nhttps://id-ransomware.blogspot.com/2018/09/rektware-ransomware.html\r\nPage 2 of 5\n\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых\r\nобновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security,\r\nто хотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nFIXPRZT.PRZ\r\nPRZT1.PRZ\r\nPRZT2.PRZ\r\n\u003crandom\u003e.exe - случайное название\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: rektware@inbox.ru\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid анализ \u003e\u003e\r\n𝚺  VirusTotal анализ \u003e\u003e\r\n🐞 Intezer анализ \u003e\u003e\r\nⓋ VirusBay образец \u003e\u003e\r\nⴵ  VMRay анализ \u003e\u003e\r\nᕒ  ANY.RUN анализ \u003e\u003e\r\n👽 AlienVault анализ \u003e\u003e\r\n🔃 CAPE Sandbox анализ \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2018/09/rektware-ransomware.html\r\nPage 3 of 5\n\n⨇ MalShare анализ \u003e\u003e\r\n⟲ JOE Sandbox анализ \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 23 сентября 2018: \r\nРасширение: .xd\r\nЗаписка: не найдена\r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.avi, .bmp, .csv, .doc, .docx, .exe, .flv, .gif, .ini, .jpg, .m4a, .mkv, .mp3, .mp4, .odp, .ods, .odt, .one, .ots, .pdf, .png,\r\n.pps, .ppt, .pptx, .rtf, .swf, .vssx, .wav, .xls, .xlsx\r\nURL: xxxx://rektware20.temp.swtest.ru\r\nФайл: Ransomware.exe\r\nРезультаты анализов: VT + HA + VMR + 🎥\r\nВариант от 13 декабря 2020: \r\nРасширение: .HaHaHaHaHaHaHaHa\r\nФайл: Ransomware.exe\r\nРезультаты анализов: VT + IA\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nhttps://id-ransomware.blogspot.com/2018/09/rektware-ransomware.html\r\nPage 4 of 5\n\nRead to links:\r\n Tweet on Twitter + Tweet\r\n ID Ransomware (ID as Rektware)\r\n Write-up, Topic of Support\r\n 🎥 Video review \u003e\u003e\r\nEtt fel inträffade.\r\nDet går inte att köra JavaScript.\r\n - видеообзор от CyberSecurity GrujaRS\r\n Thanks:\r\n CyberSecurity GrujaRS\r\n Andrew Ivanov (article author)\r\n *\r\n *\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2018/09/rektware-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2018/09/rektware-ransomware.html\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2018/09/rektware-ransomware.html"
	],
	"report_names": [
		"rektware-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434137,
	"ts_updated_at": 1775791233,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c2ced94667eaa632feb3286ee57f8ba894c6086a.pdf",
		"text": "https://archive.orkl.eu/c2ced94667eaa632feb3286ee57f8ba894c6086a.txt",
		"img": "https://archive.orkl.eu/c2ced94667eaa632feb3286ee57f8ba894c6086a.jpg"
	}
}