{
	"id": "7a7ea9d0-7194-4980-8758-f3c401338e32",
	"created_at": "2026-04-06T00:08:47.883581Z",
	"updated_at": "2026-04-10T03:20:04.676722Z",
	"deleted_at": null,
	"sha1_hash": "c343bf5c0928c6e1865a430c94e80ab4df03bb10",
	"title": "Mars, MarsDecrypt",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 292302,
	"plain_text": "Mars, MarsDecrypt\r\nArchived: 2026-04-05 14:17:56 UTC\r\nMars Ransomware\r\nMarsDecrypt Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные сайтов, NAS-устройств, серверов и компьютеров бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в $300-$2000 в BTC, чтобы вернуть файлы.\r\nСумма выкупа рассчитывается исходя из количества зашифрованных офисных файлов. Оригинальное\r\nназвание: MARS Virus. На файле написано: нет данных.\r\n---\r\nОбнаружения:\r\nDrWeb -\u003e\r\nBitDefender -\u003e\r\nALYac -\u003e\r\nAvira (no cloud) -\u003e\r\nESET-NOD32 -\u003e\r\nMalwarebytes -\u003e\r\nRising -\u003e\r\nSymantec -\u003e\r\nTrendMicro -\u003e\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: ??? \u003e\u003e Mars\r\nИзображение — логотип статьи\r\nhttps://id-ransomware.blogspot.com/2020/10/mars-ransomware.html\r\nPage 1 of 8\n\nК зашифрованным файлам добавляется расширение: .mars Внимание! Новые расширения, email и\r\nтексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным\r\nвариантом. \r\nАктивность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру. \r\nЗаписка с требованием выкупа называется: !!!MARS_DECRYPT.TXT\r\nЗаписка с суммой выкупа $300\r\nЗаписка с суммой выкупа $2000\r\nСодержание записки о выкупе: \r\nAll your files have been encrypted with MARS Virus.\r\nYour unique id: B7D70A6B4C8C41D38305FC492627EFAF\r\nOur virus encrypted 15 of your office files (xls, xlsx, doc, docx, ppt, pptx, odt, ods, pdf, dwg, psd, dbf, fpt, php,\r\ncdr, mdb, accdb). \r\nYou can buy decryption for 300$ in Bitcoins.\r\nhttps://id-ransomware.blogspot.com/2020/10/mars-ransomware.html\r\nPage 2 of 8\n\nBut before you pay, you can make sure that we can really decrypt any of your files.\r\nThe encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.\r\nTo do this:\r\n1) Send your unique id B7D70A6B4C8C41D38305FC492627EFAF and max 3 files for test decryption\r\nto mars_dec@outlook.com or anton_ivan_8989@mail.ru\r\n2) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.\r\n3) Be careful! Fakes are possible in Telegram, never pay until you receive test files after decryption!\r\n4) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt\r\nyour files, we have no reason to deceive you after payment. \r\nor do this(If you have not received a reply by email):\r\n1) Download and install Telegram Messanger: https://desktop.telegram.org/ (for Windows, Linux, macOS)\r\n2) Find user mars_dec\r\n3) Send your unique id B7D70A6B4C8C41D38305FC492627EFAF and max 3 files for test decryption.\r\n4) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.\r\n5) Be careful! Fakes are possible in Telegram, never pay until you receive test files after decryption!\r\n6) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt\r\nyour files, we have no reason to deceive you after payment. \r\nFAQ:\r\nCan I get a discount?\r\nNo. The ransom amount is calculated based on the number of encrypted office files and discounts are not\r\nprovided. All such messages will be automatically ignored.\r\nWhat is Bitcoin?\r\nread bitcoin.org\r\nWhere to buy bitcoins?\r\nhttps://bitcoin.org/en/buy\r\nhttps://buy.moonpay.io\r\nor use google.com\r\nWhere is the guarantee that I will receive my files back?\r\nhttps://id-ransomware.blogspot.com/2020/10/mars-ransomware.html\r\nPage 3 of 8\n\nThe very fact that we can decrypt your random files is a guarantee. It makes no sense for us to deceive you.\r\nHow quickly will I receive the key and decryption program after payment?\r\nAs a rule, within a few hours, but very rarely there may be a delay of 1-2 days.\r\nHow does the decryption program work?\r\nIt's simple. You need to copy the key and select a folder to decrypt. The program will automatically decrypt all\r\nencrypted files in this folder and its subfolders.\r\nI will complain about your Telegram account and mailbox's..\r\nGod help you. You won't find us anyway. But many people will be deprived of any opportunity to recover their\r\nfiles.\r\nПеревод записки на русский язык: \r\nВсе ваши файлы были зашифрованы MARS Virus.\r\nВаш уникальный  id: B7D70A6B4C8C41D38305FC492627EFAF\r\nНаш вирус зашифровал 15 ваших офисных файлов (xls, xlsx, doc, docx, ppt, pptx, odt, ods, pdf, dwg, psd, dbf,\r\nfpt, php, cdr, mdb, accdb).\r\nВы можете купить расшифровку за 300$ в биткойнах.\r\nНо перед оплатой убедитесь, что мы действительно сможем расшифровать любой из ваших файлов.\r\nКлюч шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть\r\nсвои файлы.\r\nСделать это:\r\n1) Отправьте свой уникальный id B7D70A6B4C8C41D38305FC492627EFAF и максимум 3 файла для\r\nтестовой расшифровки на mars_dec@outlook.com или anton_ivan_8989@mail.ru\r\n2) После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для\r\nоплаты.\r\n3) Будьте осторожны! В Telegram возможны подделки, никогда не платите, пока не получите тестовые\r\nфайлы после расшифровки!\r\n4) После оплаты выкупа за биткойны мы вышлем вам программу расшифровки и инструкции. Если мы\r\nсможем расшифровать ваши файлы, у нас не будет причин обманывать вас после оплаты.\r\nили сделайте это (если вы не получили ответ по электронной почте):\r\n1) Загрузите и установите Telegram Messanger: https://desktop.telegram.org/ (для Windows, Linux, macOS)\r\nhttps://id-ransomware.blogspot.com/2020/10/mars-ransomware.html\r\nPage 4 of 8\n\n2) Найдите пользователя mars_dec\r\n3) Отправьте свой уникальный id B7D70A6B4C8C41D38305FC492627EFAF и максимум 3 файла для\r\nтестовой расшифровки.\r\n4) После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для\r\nоплаты.\r\n5) Будьте осторожны! В Telegram возможны подделки, никогда не платите, пока не получите тестовые\r\nфайлы после расшифровки!\r\n6) После оплаты выкупа за биткойны мы вышлем вам программу расшифровки и инструкции. Если мы\r\nсможем расшифровать ваши файлы, у нас не будет причин обманывать вас после оплаты.\r\nЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:\r\nМогу ли я получить скидку?\r\nНет. Сумма выкупа рассчитывается исходя из количества зашифрованных офисных файлов, и скидки не\r\nпредоставляются. Все такие сообщения будут автоматически игнорироваться.\r\nЧто такое биткойн?\r\nчитайте bitcoin.org\r\nГде купить биткойны?\r\nhttps://bitcoin.org/en/buy\r\nhttps://buy.moonpay.io\r\nили используйте google.com\r\nГде гарантия, что я получу свои файлы обратно?\r\nСам факт, что мы можем расшифровать ваши случайные файлы, является гарантией. Для нас нет смысла\r\nобманывать вас.\r\nКак быстро я получу ключ и программу дешифрования после оплаты?\r\nКак правило, в течение нескольких часов, но очень редко может быть задержка на 1-2 дня.\r\nКак работает программа дешифрования?\r\nЭто просто. Вам нужно скопировать ключ и выбрать папку для расшифровки. Программа автоматически\r\nрасшифрует все зашифрованные файлы в этой папке и ее подпапках.\r\nЯ пожалуюсь на ваш аккаунт в Telegram и почтовые ящики ..\r\nhttps://id-ransomware.blogspot.com/2020/10/mars-ransomware.html\r\nPage 5 of 8\n\nБог тебе в помощь. Вы все равно нас не найдете. Но многие люди будут лишены возможности\r\nвосстановить свои файлы.\r\nТехнические детали\r\nНаверняка распространяется путём взлома через незащищенную конфигурацию RDP, т.к. большинство\r\nпострадавших сообщили, что об атаках на серверы, которые никогда не подключались к сети и ничего не\r\nскачивали.\r\nПри перенастройке вектора атаки могут начать распрсотраняться с помощью email-спама и вредоносных\r\nвложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых\r\nобновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.xls, .xlsx, .doc, .docx, .ppt, .pptx, .odt, .ods, .pdf, .dwg, .psd, .dbf, .fpt, .php, .cdr, .mdb, .accdb - как минимум. \r\nЭто могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных,\r\nфотографии, видеофайлы, чертежи, веб-файлы и пр.\r\nФайлы, связанные с этим Ransomware:\r\n!!!MARS_DECRYPT.TXT - название файла с требованием выкупа\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nMARSDecryptor.exe - оригинальный дешифровщик\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nIndex of/\r\nhttps://id-ransomware.blogspot.com/2020/10/mars-ransomware.html\r\nPage 6 of 8\n\nМы нашли зашифрованные файлы на разных сайтах. \r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: mars_dec@outlook.com, anton_ivan_8989@mail.ru\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 30 ноября 2020:\r\nhttps://id-ransomware.blogspot.com/2020/10/mars-ransomware.html\r\nPage 7 of 8\n\nРасширение: .vyb\r\nTelegram: mars_dec\r\nОбновление от 2 фераля 2021:\r\nПост на форуме \u003e\u003e\r\nРасширение: .mars \r\nEmail: anton_ivan_8989@mail.ru\r\nЭтот вымогатель всё ещё активен. \r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + myMessage\r\n ID Ransomware (ID as Mars)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n Michael Gillespie\r\n Andrew Ivanov (article author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/10/mars-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/10/mars-ransomware.html\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/10/mars-ransomware.html"
	],
	"report_names": [
		"mars-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434127,
	"ts_updated_at": 1775791204,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c343bf5c0928c6e1865a430c94e80ab4df03bb10.pdf",
		"text": "https://archive.orkl.eu/c343bf5c0928c6e1865a430c94e80ab4df03bb10.txt",
		"img": "https://archive.orkl.eu/c343bf5c0928c6e1865a430c94e80ab4df03bb10.jpg"
	}
}