{
	"id": "e7319b9f-2508-4e13-8ec9-b0b60d78d1d1",
	"created_at": "2026-04-06T00:16:04.748705Z",
	"updated_at": "2026-04-10T03:20:45.515634Z",
	"deleted_at": null,
	"sha1_hash": "c40802e9a3c38bedf1bc57df7baa91af39e3a5c5",
	"title": "Hakbit, Thanos",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2289586,
	"plain_text": "Hakbit, Thanos\r\nArchived: 2026-04-05 12:50:54 UTC\r\nHakbit Ransomware\r\nThanos Ransomware\r\nHakbit (Thanos) NextGen:\r\nVariants: Abarcy, Corona, Ravack, Energy, Pulpit, Narumi, 777 et al.\r\nThanos-based Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей и корпоративных сетей с помощью AES, а затем\r\nтребует выкуп от 0.03 до 3 BTC, чтобы вернуть файлы. Оригинальное название: в записке не\r\nуказано. Файл может называться: firefox.exe или chrome32.exe, opera32.exe, firefox.exe, server.exe, client.exe\r\nи пр. Разработка: Hakbit кодируется в .NET. \r\n---\r\nВ большинстве случаев, где использовался шифровальщик Hakbit, файлы можно было расшифровать.\r\nПозже стал использоваться более новый вариант, использующий шифрование с алгоритмом RSA. Сервис\r\n\"ID Ransomware\" стал идентифицировать его как Thanos, в котором расшифровка без закрытого RSA-ключа невозможна. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Siggen8.54093, Trojan.MulDrop11.30182, Trojan.EncoderNET.4,\r\nTrojan.Encoder.31029, Trojan.Siggen9.15292, Trojan.Encoder.33405, Trojan.Encoder.33390\r\nALYac -\u003e Trojan.Ransom.Hakbit\r\nBitDefender - Trojan.Ransomware.GenericKDS.41983308,\r\nIL:Trojan.MSILZilla.6860, Trojan.GenericKD.32996926, Trojan.GenericKD.41982566, \r\nESET-NOD32 -\u003e A Variant Of MSIL/Agent.THY, A Variant Of MSIL/Filecoder.WZ, A Variant Of\r\nMSIL/Filecoder.Thanos.A\r\nTrendMicro -\u003e Ransom_Stupid.R002C0DAR20, Ransom.MSIL.HAKBIT.A\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 1 of 44\n\n---\r\n© Генеалогия: Ransomware Builder (позже его назвали Thanos Ransomware Builder) \u003e\u003e Hakbit \u003e Hakbit\r\nNextGen: Abarcy, Ravack, Corona, Energy, Pulpit, Cryp, Rastar и другие безымянные \u003e Thanos (новые\r\nварианты) \u003e Prometheus, Spook \r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .crypted Внимание! Новые расширения, email и\r\nтексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным\r\nвариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало ноября 2019 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру. Выдает себя за файлы браузеров Google\r\nChrome, Firefox, Opera. \r\nЗаписка с требованием выкупа называется: HELP_ME_RECOVER_MY_FILES.txt\r\nСодержание записки о выкупе:\r\nAtention! all your important files were encrypted!\r\nto get your files back send 300 USD worth in Bitcoins and contact us with proof of payment and your Unique\r\nIdentifier Key.\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 2 of 44\n\nWe will send you a decryption tool with your personal decryption password.\r\nWhere can you buy Bitcoins:\r\nhttps://www.coinbase.com\r\nhttps://localbitcoins.com\r\nContact: hakbit@protonmail.com.\r\nBitcoin wallet to make the transfer to is: 12grtxACDZkgT2nGAvMesgoM4ADHD6NTaW\r\nUnique Identifier Key (must be sent to us together with proof of payment): *****\r\nNumber of files that you could have potentially lost forever can be as high as: ***\r\nПеревод записки на русский язык:\r\nВНИМАНИЕ! все ваши важные файлы были зашифрованы!\r\nчтобы вернуть свои файлы, отправьте 300$ США в биткойнах и напишите нам с подтверждением оплаты и\r\nваш уникальный идентификатор ключа.\r\nМы вышлем вам инструмент дешифрования с вашим личным паролем дешифрования.\r\nГде можно купить биткойны:\r\nhttps://www.coinbase.com\r\nhttps://localbitcoins.com\r\nКонтакт: hakbit@protonmail.com\r\nБиткойн-кошелек для перевода: 12grtxACJZkgT2nGAvMesgoM4ADHJ6NTaW\r\nУникальный Идентификатор Ключа (вышлите нам с профом оплаты): *****\r\nКоличество файлов, которые можете навсегда потерять, может быть: ***\r\nДругим информатором жертвы выступает изображение wallpaper.bmp, заменяющее обои Рабочего стола: \r\nСодержание текста о выкупе:\r\nAtention! all your important files were encrypted!\r\nto get your files back send 300 USD worth in Bitcoins and contact us with proof of payment and your Unique\r\nIdentifier Key.\r\nWe will send you a decryption tool with your personal decryption password.\r\nWhere can you buy Bitcoins:\r\nhttps://www.coinbase.com\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 3 of 44\n\nhttps://localbitcoins.com\r\nContact: hakbit@protonmail.com\r\nBitcoin wallet to make the transfer to is: 12grtxACJZkgT2nGAvMesgoM4ADHJ6NTaW\r\nOr\r\n***\r\nПеревод текста на русский язык:\r\nВнимание! все ваши важные файлы зашифрованы!\r\nчтобы вернуть свои файлы пришлите 300$ в биткойнах и контакт с профом оплаты и вашим уникальным\r\nидентификатором ключа.\r\nМы вышлем вам дешифратор с вашим личным паролем дешифрования.\r\nГде можно купить биткойны:\r\nhttps://www.coinbase.com\r\nhttps://localbitcoins.com\r\nКонтакт: hakbit@protonmail.com\r\nБиткойн-кошелек для перевода: 12grtxACJZkgT2nGAvMesgoM4ADHJ6NTaW\r\nИли \r\n***\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Перед запуском \"спит\" более 2 минут. \r\n➤ UAC не обходит, требуется разрешение на запуск. \r\n➤ Использует команду, чтобы добавиться в Автозагрузку системы: \r\n\"C:\\Windows\\System32\\cmd.exe\" /C choice /C Y /N /D Y /T 3 \u0026 Del\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 4 of 44\n\n\"C:\\Users\\admin\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\lsass.exe\r\n➤ Удаляет теневые копии файлов. \r\n➤ Использует службу поиска внешних IP-адресов: \r\nhxxx://checkip.dyndns.org\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nHELP_ME_RECOVER_MY_FILES.txt\r\nwallpaper.bmp\r\nfirefox.exe\r\nchrome32.exe\r\nopera32.exe\r\nqaopj445.exe\r\nijxvw3i4.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nSharpExec.pdb - название проекта\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\n\\Temp\\qaopj445.exe\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 5 of 44\n\nСетевые подключения и связи:\r\nEmail: hakbit@protonmail.com\r\nBTC: 12grtxACJZkgT2nGAvMesgoM4ADHJ6NTaW\r\nURL: hxxx://hakbit.hostingerapp.com/\r\nhxxxs://hakbit.000webhostapp.com/\r\nURL изображения: hxxxs://hakbit.000webhostapp.com/013.jpg\r\nURL на файлы: \r\nhxxxs://raw.githubusercontent.com/anthemtotheego/SharpExec/master/CompiledBinaries/SharpExec_x64.exe\r\nhxxxs://raw.githubusercontent.com/anthemtotheego/SharpExec/master/CompiledBinaries/SharpExec_x86.exe\r\nТаким образом ясно, что использует SharpExec.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e  AR\u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n === Конструктор и дешифровщик ===\r\nМоделью распространения является RaaS, шифровальщик распространяется посредством конструктора,\r\nкоторый позволяет создать конфигурацию самого шифровальщика и дешифровщик под него. В\r\nконструкторе немало настроек: как базовых (расширение зашифрованных файлов, содержимое и имя\r\nзаписки, адрес для оплаты), так и более продвинутых (обфускация кода; самоудаление; отключение\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 6 of 44\n\nWindows Defender; обход Antimalware Scan Interface (AMSI); освобождение файлов, занятых другими\r\nпроцессами; защита процесса шифровальщика; предотвращение сна; задержка исполнения; быстрый\r\nрежим шифрования для больших файлов; установка расширений для шифрования; выбор способа\r\nуведомления жертвы). В сети можно найти утекший конструктор. Скорее всего, его выложил один из\r\nкупивших его операторов. В качестве защиты в конструктор встроена проверка HWID — это говорит о\r\nтом, что его собирают под конкретное устройство оператора.\r\nДешифровщик позволяет расшифровать файлы за счет идентификатора пользователя, который\r\nпредставляет собой зашифрованный RSA-ключ (в разных версиях применяются разные симметричные\r\nалгоритмы шифрования).\r\nИз различных образцов шифровальщика известны разные схемы шифрования:\r\n- один ключ для всех файлов, шифрование по Salsa20;\r\n- разные ключи для всех файлов, шифрование по Salsa20;\r\n- один ключ для всех файлов, пропущенный через функцию преобразования ключа PBKDF2, и\r\nшифрование по AES-256 CBC;\r\n- один ключ для всех файлов, пропущенный через PBKDF2 с 1000 итераций для малых файлов и 50 000\r\nитераций для больших (\u003e15 МБ), затем шифрование по AES-256 CBC.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nВ некоторых случаях файлы можно расшифровать.\r\nСкачайте дешифровщик от Emsisoft \u003e\u003e\r\n***\r\nРасшифровать файлы можно у вариантов, идентифицируемые как Hakbit.\r\nФайлы зашифрованные Thanos (исправленной версией) не расшифрованы.\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as Hakbit and as Thanos)\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 7 of 44\n\nWrite-up, Topic of Support\r\n *\r\n - видеобзор с помощью Any.Run\r\n Thanks:\r\n CyberSecurity GrujaRS, Michael Gillespie\r\n Andrew Ivanov (author)\r\n Karsten Hahn, Alex Svirid, Petrovic, Sandor\r\n to the victims who sent the samples\r\n \r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nКриптоконструктор \"Ransomware Builder\" (нулевые версии) - до октября 2019. \r\nКриптоконструктор \"Targeted Private Ransomware Builder\" - с 10 октября 2019. \r\nКриптоконструктор \"Private Ransomware Builder v. 2.0\" - с 20 октября 2019. \r\nHakbit Ransomware - с ноября 2019 на основе одной из ранних версий криптоконструктора. \r\nPrivate Ransomware Builder v. 2.1 - декабрь 2019. \r\nPrivate Ransomware Builder v. 2.2 - январь 2020. \r\nThanos Ransomware (фактически исправленный Hakbit, на основе более новой версии\r\nкриптоконструктора) - примерно с ноября-декабря 2020; не может быть расшифрован с помощью того же\r\nспособа, который применялся для расшифровки Hakbit-вариантов. \r\nбезымянный предшественник Prometheus Ransomware, ранние варианты - февраль-март 2021, указаны\r\nниже в обновлениях для Hakbit/Thanos. \r\nPrometheus Ransomware, собственно сам - примерно с мая 2021 и в течение года; описан в\r\nстатье Prometheus.\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 8 of 44\n\nPrometheus NextGen Ransomware - примерно с июня 2021; некоторые варианты не шифровали файлы,\r\nдругие можно было расшифровать.\r\nNextGen с другими названиями - примерно с июля 2021, и далее в 2022 году. \r\nДругие NextGen-варианты - примерно с сентября 2021. \r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 16 ноября 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: нет\r\nЗаписка: you are stupid!.txt \r\n***\r\nРезультаты анализов: VT + HA + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.30116 - gozde.exe  \r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.3\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.UQ\r\n---\r\nИспользует команду: /C choice /C Y /N /D Y /T 3 \u0026 Del \\\r\n➤ Пояснение по команде:\r\ncmd.exe /C вызывает терминал, выполняет указанную далее команду и закрывается.\r\nchoice /C Y /N показывает пустое диалоговое окно, которое само нажмет кнопку Yes (/D Y) через 3 секунды\r\n(/T 3).\r\n\u0026 Del \\ - проведет самоудаление\r\nВариант от 18 ноября 2019: \r\nРасширение: .horse\r\nФайл: Setup.exe\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 9 of 44\n\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nALYac -\u003e Trojan.Ransom.Hakbit\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.3\r\nMcAfee -\u003e Ransomware-GUP!86EE14A5E016\r\nMicrosoftRansom:MSIL/Stupid.G!MTB\r\nTrendMicro -\u003e Ransom.Win32.STUPID.THAOCBO\r\nВариант от 21 ноября 2019: \r\nРасширение: .turretsyndrome\r\nФайл: lol.exe\r\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.MulDrop11.30182\r\nBitDefender -\u003e Gen:Variant.Zusy.Elzob.21458\r\nALYacTrojan.Ransom.Hakbit\r\nMcAfee -\u003e Ransomware-GUP!63CA3D0E9FF1\r\nMicrosoft -\u003e Ransom:MSIL/Stupid.G!MTB\r\nTrendMicro -\u003e Ransom.Win32.STUPID.THAOCBO\r\n=== 2020 ===\r\nВариант от 31 января 2020: \r\nРасширение: .abarcy\r\nDiscord Tag : Abarcy#2996.txt\r\nСписок целевых расширений:\r\n.avi, .cpp, .cs, .ct, .dll, .docx, .exe, .gif, .htm, .html, .jpeg, .jpg, .mp4, .php, .png, .rar, .txt, .xlsx, .zip\r\nФайл: bind with tapjoy.exe\r\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nBitDefender -\u003e Trojan.GenericKD.32996926\r\nALYac -\u003e Trojan.Ransom.Hakbit\r\nSymantec -\u003e Trojan.Gen.MBT\r\n---\r\n➤ Содержание записки: \r\n==== Hey Don't worry ====\r\nif you are file with .abarcy extension\r\nall your file are encrypted, which is protected\r\nthere are many ways to get back, but i recommended the best way to you.\r\n=== If you're GT Player ===\r\n1. Join My Discord Server https://discord.gg/ZfeGdM2\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 10 of 44\n\n2. Read instruction on discord server\r\ntapjoy\r\nВариант от 31 января 2020: \r\nПост в Твиттере \u003e\u003e\r\nРасширение: .gesd\r\nЗаписка: READ THIS!!!!.txt\r\nWhatsapp: +441904501029\r\nФайл: server.exe\r\nРезультаты анализов: VT + AR + IA + VMR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.31029\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.3\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.UQ\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTrendMicro -\u003e Ransom_Stupid.R002C0DBG20\r\n➤ Содержание записки: \r\nAtention! all your important files were encrypted! to get your files back send 3 Bitcoins and contact us with proof\r\nof payment and your Unique Identifier Key. \r\nWe will send you a decryption tool with your personal decryption password.\r\nWhere can you buy Bitcoins:\r\nhttps://www.coinbase.com\r\nhttps://localbitcoins.com\r\nCONTACT\r\nservo99@protonmail.com\r\nanother if we not asnwer\r\nservo33@protonmail.com\r\nBitcoin wallet to make the transfer to is:1MYNpqa9CKnjvcvxd25iB7qxxeZbfWsBzP\r\n---\r\nТакже используется изображение\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 11 of 44\n\n---\r\nФайл: Client-4.exe\r\nРезультаты анализов: VT + AR / VT + VMR + AR\r\n➤ Обнаружения:\r\nDr.Web -\u003e Trojan.Siggen9.15292\r\nBitDefenader -\u003e Trojan.GenericKD.42685813\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.VL\r\nKaspersky -\u003e HEUR:Trojan.MSIL.DelShad.gen\r\nMalwarebytes -\u003e Trojan.Injector\r\nMicrosoft -\u003e Ransom:MSIL/Filecoder!MTB\r\nRising -\u003e Ransom.Filecoder!8.55A8 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTrendMicro -\u003e Ransom.MSIL.FILECODER.THBBGBO\r\nВариант от 1 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .part\r\nСамоназвание: Corona ransomware\r\nЗаписка: HELP_ME_RECOVER_MY_FILES.txt\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 12 of 44\n\n➤ Содержание записки:\r\n1 - What Happened to My Computer ?\r\nYour business is at serious risk.\r\nThere is a significant hole in the security system of your company.\r\nWe've easily penetrated your network and now all your files, documents, photos, databases, ...are safely\r\nencrypted with the strongest millitary algorithms RSA4096 and AES-256.\r\nNo one can help you to restore files without our special decoder (corona decryption).\r\nWe have also uploaded a lot of files from your network on our secure server, so if you refuse to pay the ransom,\r\nthose files will be published or solded to competitors\r\n2 - Can I Recover My Files ?\r\nSure, we guarantee that you can recover all your files safely. \r\nIf you want to restore your files write to recoba90@protonmail.com and attach 2 encrypted files (Less than 3MB\r\neach) and we will decrypt them.\r\nPlease don't forget to precise the name of your compagny and your unique identifier key in the e-mail.\r\nBut if you want to decrypt all your files, you need to pay.\r\nYou only have 5 days from this moment to submit the payment. After that  all your files will be lost definitely.\r\n3 - How Do I Pay ?\r\nPayment is accepted in bitcoin only. You can buy bitcoins from :\r\n-https://www.coinbase.com\r\n-https://localbitcoins.com\r\nThe final price of decryption is 300$ .\r\nFirst : Send 300$ worth of bitcoin\r\nSecond: send an e-mail to recoba90@protonmail.com and don't forget to precise the name of you compagny, your\r\nwallet ID and your  \r\nunique identifier key.After that, we will send you our corona decryption tool to restore all your files.\r\n!!!!Be warned, we won't be able to recover your files if your start fiddling with them.!!!!\r\nCorona ransomware\r\nNo System Is Safe\r\nBitcoin wallet to make the transfer to is:\r\n32bzWrWXXbWGSwB4gGTQt8RdzuNQVaS9Md\r\nUnique Identifier Key (must be sent to us together with proof of payment): \r\n---------------------------------------------------------------------------------\r\nkvMpaz7neSIxej4U89xXcYPS1CsEKO3WoZJpCz [всего 344 знака]\r\n---------------------------------------------------------------------------------\r\n---\r\nURL временный: ftp://files.000webhost.com/public_html/\r\nEmail: recoba90@protonmail.com\r\nBTC: 32bzWrWXXbWGSwB4gGTQt8RdzuNQVaS9Md\r\nФайл: Client-0.exe\r\nРезультаты анализов: VT + HA + AR + IA\r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.MulDrop11.48683\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 13 of 44\n\nALYac -\u003e Trojan.Ransom.Hakbit\r\nBitDefender -\u003e Gen:Trojan.Heur.DNP.dm0@auNGwPc\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.VL\r\nMalwarebytes -\u003e Trojan.Injector\r\nRising -\u003e Trojan.Filecoder!8.68 (CLOUD)\r\nTrendMicro -\u003e Trojan.MSIL.MALREP.THCOBBO\r\nВариант от 4 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .ravack\r\nСамоназвание: Ravack Ransomware\r\nПо факту переименованная копия варианта с расширением .abarcy\r\nЗаписка: HELP_ME_RECOVER_MY_FILES.txt\r\n \r\nИзображение wallpaper.bmp загружается по ссылке: hxxx://f0402724.xsph.ru/wallpaper/Ravack.bmp\r\nПерепакованный дистрибутив программы от Movavi: Movavi.Video.Editor.Plus.20.2.0.exe\r\nРезультаты анализов: VT + HA\r\nДистрибутив ранее был на сайте rsload.net, потом кто-то загрузил его на drive.google.com и инфицировал\r\nнесколько файлов. \r\n \r\nВредоносные файлы после установки:  \r\nC:\\Program Files (x86)\\Windows NT\\Accessories\\dwm.exe - VT + VMR\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 14 of 44\n\nC:\\Program Files (x86)\\Windows NT\\data\\dllhost.exe - VT\r\nВариант от 9-12 мая 2020: Предположительное родство. \r\nПост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .crypted\r\nEmail: timepay@protonmail.com\r\nЗаписка: HELP_ME_MY_FILES_NOT_MAKE_PUBLIC.txt\r\nФайл: BUDDINGPULVERS.exe, Client-17.exe\r\nРезультаты анализов: VT + HA + IA + VMR + TG\r\n \r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.Siggen9.45634\r\nBitDefender -\u003e Gen:Heur.MSIL.Bladabindi.1\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.VL\r\nMalwarebytes -\u003e Trojan.Injector\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTrendMicro -\u003e TROJ_GEN.R011C0WEB20\r\nВариант от 24 мая 2020: \r\nПост на форуме \u003e\u003e\r\nРасширение: .crypted\r\nEmail: mheist5@protonmail.com\r\nЗаписка: HELP_ME_RECOVER_MY_FILES.txt\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 15 of 44\n\n➤ Содержание записки: \r\nHello *** Co. Ltd. , All your files on your 17 servers are currently encrypted, you are allowed to try and decrypt,\r\nbut you wont succeed, but if you want to recover your files, email us below:\r\nContact: To: mheist5@protonmail.com\r\ntiVDLou4Zj7PgA9UkQJDlt9h5IW*** [всего 344 знака]\r\nNumber of files that you could have potentially lost forever can be as high as: 3456\r\nВариант от 18 июня 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .CRYPTED\r\nЗаписка: DEAL_FOR_ACCESS_TO_YOUR_FILES.TXT\r\nEmail: l1u1t1@secmail.pro\r\nРезультаты анализов: VT + TG + IA\r\nВариант от 10 июля 2020:\r\nПост в Твиттере \u003e\u003e\r\nЗаписки: HOW_TO_DECYPHER_FILES_login.txt\r\nHOW_TO_DECYPHER_FILES.txt\r\nHOW_TO_DECYPHER_FILES.hta\r\nТакже есть текст в окне, отображаемом при входе пользователя.\r\n \r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 16 of 44\n\nТекст из txt-записки:\r\nYour Files are Encrypted.\r\nDon’t worry, you can return all your files!\r\nYou've got 48 hours(2 Days), before you lost your files forever.\r\nI will treat you good if you treat me good too.\r\nThe Price to get all things to the normal : 20,000$\r\nMy BTC Wallet ID :\r\n1F6sq8YvftTfuE4QcYxfK8s5XFUUHC7sD9\r\nContact :\r\njosephnull@secmail.pro\r\n---\r\nТекст с синего экрана:\r\nInformation...\r\nYour Files are Encrypted.\r\nDon't worry, you can return all your files!\r\nYou've got 48 hours(2 Days), before you lost your files forever.\r\nI will treat you good if you treat me good too.\r\nThe Price to get all things to the normal : 20,000$\r\nMy BTC Wallet ID :\r\n1F6sq8YvftTfuE4QcYxfK8s5XFUUHC7sD9\r\nContact:\r\njosephnull@secmail.pro\r\n---\r\nРезультаты анализов: AR + AR + VT + IA\r\nВариант от 21 октября 2020:\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 17 of 44\n\nРасширение: .energy[potentialenergy@mail.ru]\r\nЗаписка: HOW_TO_DECYPHER_FILES.txt\r\nEmail: potentialenergy@mail.ru\r\nРезультаты анализов: VT + IA\r\nВариант от 19 октября 2020:\r\nРасширение: .locked\r\nEmail: milleni5000@qq.com\r\nЗаписка: HOW_TO_DECYPHER_FILES.txt\r\nВариант от 17 ноября 2020:\r\nРасширение: .pulpit\r\nЗаписка: HOW_TO_DECYPHER_FILES.txt\r\nEmail: suppforunl@firemail.com, suppforunl@rape.lol\r\nJabber: suppforunl@xmpp.jp\r\nФайл: pulpit1.exe\r\nРезультаты анализов: VT\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 18 of 44\n\nВариант от 6 декабря 2020:\r\nРасширение: .cryp\r\nРезультаты анализов: VT\r\nВариант от 18 декабря 2020:\r\nИдентифицирется как Thanos (исправленный Hakbit) и не может быть расшифрован. \r\nРасширение: .rastar\r\nЗаписка: HOW_TO_DECYPHER_FILES.txt\r\nEmail: datarecovery@asiarecovery.ir \r\nРезультаты анализов: VT + IA\r\nВариант от 21 декабря 2020:\r\nРасширения: \r\n.guanhospit\r\n.360eyao\r\nЗаписка: HOW_TO_DECYPHER_FILES.txt\r\nEmail: datarecovery@asiarecovery.ir\r\n=== 2021 ===\r\n13 января 2021: \r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 19 of 44\n\nEmail: yourdata@recoverygroup.at\r\nРасширение: .stnts \r\nЗаписка: RESTORE_FILES_INFO.txt\r\n---\r\nДругие расширения: \r\n.plastic\r\n.Spectranetics\r\nВариант от 22 января 2021:\r\nИдентифицирется как Thanos (исправленный Hakbit) и не может быть расшифрован. \r\nСамоназвание: TeslaCrypt (фальшивый на самом деле). \r\nРасширение: .0l0lqq\r\nEmail: workplus111@protonmail.com, worker400@airmail.cc\r\nЗаписка: RESTORE_FILES_INFO.txt\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33405\r\nALYac -\u003e Trojan.Ransom.Thanos\r\nAvira (no cloud) -\u003e TR/FileCoder.wwdim\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 20 of 44\n\nBitDefender -\u003e Trojan.GenericKD.36228402\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMalwarebytes -\u003e Ransom.Thanatos\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Msil.Trojan.Encoder.Pgdm\r\nTrendMicro -\u003e TROJ_FRS.0NA103AM21\r\nВариант от 23 января 2021:\r\nРасширение: .fsvlf4\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: workplus111@protonmail.com, worker400@airmail.cc\r\nРезультаты анализов: VT + AR + TG\r\nВариант от 26 января 2021: \r\nРасширение: .secure[milleni5000@qq.com]\r\nEmail: milleni5000@qq.com\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 21 of 44\n\nСодержание ответа вымогателей:\r\nhello,\r\nto decrypt your files You will need a special software with your special unique private key.\r\nprice of software with your private key will be 1500 US dollars.\r\nwith this product you can decrypt all your files.\r\nwe accept only BITCOIN payments. (It is a decentralized digital currency)\r\nwhen your payment will be delivered you will receive your software with private key IMMEDIATELY!\r\nto be sure we have the decryptor and it works you can send to us one file and we decrypt it for free.\r\nbut this file should be of not valuable!\r\nlet us know about your decision as soon as possible and we give you bitcoin wallet for payment.\r\nthanks.\r\n---\r\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33390\r\nBitDefender -\u003e Trojan.GenericKD.45569098\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Msil.Trojan.Crypren.Apcz\r\nTrendMicro -\u003e TrojanSpy.MSIL.CRYPREN.USMANAK21\r\nВариант от 14 февраля 2021:\r\nРасширение: .zuadr\r\nДругие ранее известные расширения: .stnts, .plastic, .zonecare, .lpsk\r\nЗаписки: RESTORE_FILES_INFO.hta, RESTORE_FILES_INFO.txt\r\nEmail: yourdata@RecoveryGroup.at\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 22 of 44\n\nФайл: ZaudrShare.exe\r\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nBitDefender -\u003e Trojan.MSIL.Basic.6.Gen\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMalwarebytes -\u003e Backdoor.Bladabindi\r\nMicrosoft -\u003e Ransom:MSIL/FileCoder!MTB\r\nRising -\u003e Trojan.Filecoder!8.68 (TFE:D:bbfQqAFLwVV)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Msil.Trojan.Encoder.Hviu\r\nTrendMicro -\u003e TrojanSpy.MSIL.SMALLAGENT.USMANBE21\r\nВариант от 16 февраля 2021:\r\nРасширение: .PROM[prometheushelp@mail.ch]\r\nЗаписки: RESTORE_FILES_INFO.txt, RESTORE_FILES_INFO.hta\r\nEmail: prometheushelp@mail.ch\r\nprometheushelp@airmail.cc\r\nPrometheus.help@protonmail.ch\r\nTor-URL: sonarmsniko2lvfu.onion/\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 23 of 44\n\nФайл: Svchost.exe\r\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nBitDefender -\u003e Gen:Heur.MSIL.Bladabindi.1\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMalwarebytes -\u003e Backdoor.Bladabindi\r\nMicrosoft -\u003e Ransom:MSIL/FileCoder!MTB\r\nSymantec -\u003e Ransom.HiddenTear!g1\r\nTencent -\u003e Msil.Trojan-downloader.Seraph.Wsty\r\nTrendMicro -\u003e Ransom.Win32.THANOS.SM\r\nВариант от 19 февраля 2021: \r\nСамоназвание: Alumni Locker\r\nРасширение: .alumni\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 24 of 44\n\nЗаписка: HOW_TO_RECOVER_YOUR_FILES.txt\r\nРезультаты нализов: VT + TG + AR\r\nВариант от 11 марта 2021: \r\nРасширение: .secure\r\nМаркер файлов: GotAll Done\r\nЕсть варианты на разных языках. \r\nЗаписки: Instruction.txt (на английском), Инструкция.txt (на русском)\r\nEmail: filesrestore000@airmail.cc\r\nЗаписка: HOW_TO_RECOVER_YOUR_FILES.txt\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 25 of 44\n\nФайл: Client-3.exe\r\nРезультаты нализов: VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nBitDefender -\u003e Trojan.MSIL.Basic.6.Gen\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMalwarebytes -\u003e Ransom.Thanos\r\nMicrosoft -\u003e Program:Win32/Wacapew.C!ml\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nВариант от 17 марта 2021:\r\nРасширение: .hard\r\nEmail: harditem@firemail.cc. harditem@hitler.rocks\r\nJabber: harditem@xmpp.jp\r\nРезультаты анализов: VT + IA\r\nВариант 17 марта 2021: \r\nРасширение: .[ID-XXXXXXXX].[killerworm@tuta.io].crypt\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: killerworm@tuta.io, zerowhite@tuta.io\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 26 of 44\n\nВариант от 20 марта:\r\nРасшиение: .pchtza\r\nВариант от 23 марта 2021:\r\nРасширение: .[ID-XXXXXXXX].[KingKong2@tuta.io].crypt\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: kingkong2@tuta.io\r\nВариант от 23 марта 2021:\r\nРасширение: .ejqvfp\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: decoder44@rambler.ru, alpinbovuar@protonmail.com\r\nЯрлык в Автозагрузке:  C:\\Users\\Admin\\AppData\\Roaming\\Microsoft\\Windows\\Start\r\nMenu\\Programs\\Startup\\mystartup.lnk\r\nРезультаты анализов: VT + TG\r\n➤ Содержание записки: \r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 27 of 44\n\nВаша система была зашифрована. Для того что бы получить доступ к Вашим файлам и расшифровать их\r\nВам необходимо связаться с нами по адрессам \r\ndecoder44@rambler.ru\r\nalpinbovuar@protonmail.com (обращаем ваше внимание что могут возникнуть трудности по дохождению\r\nписем на протон с мейл.ру и яндекса) или телеграмма который мы Вам сообщим связавшись с вашими\r\nсотрудниками. \r\nТак же у нас есть данные от ваших баз данных, бекапов, телеграмы ваших сотрудников, личные данные\r\nваших клиентов и доступы к платежным системам. \r\nKey Identifier: \r\nN6e+wCICmGtchG/aL8Bljl77pKaF+*** [всего 684знака]\r\nNumber of files that were processed is: 17***\r\nВариант от 26 марта 2021: \r\nРасширение: .VIPxxx\r\nПолное расширение: .[ID-215CFE80].[kingkong2@tuta.io].VIPxxx\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: kingkong2@tuta.io, 1bmx1@tuta.io\r\nВариант от 27 марта 2021: \r\nРасширение: .secure[milleni5000@qq.com]\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: milleni5000@qq.com\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 28 of 44\n\nВариант от 6 апреля 2021: \r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: kingkong2@tuta.io, 1bmx1@tuta.io\r\nВариант от 7 апреля 2021:\r\nРасширение: .kingdee\r\nEmail: yourdata@RecoveryGroup.at\r\nФайл: Kingdee.exe\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения:  \r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.DC!MTB\r\nВариант от 12 апреля 2021: \r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 29 of 44\n\nРасширение (концевое): .CRYSTAL\r\nПолное расширение (пример): .[ID-C4BA3456].[black_privat@tuta.io].CRYSTAL\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: black_privat@tuta.io, darkseid@tutamail.com\r\nНазвания файла: farkos.csv, farkos.csas, Client-0.exe\r\nРезультаты анализов: VT + AR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nBitDefender -\u003e Trojan.GenericKD.46083313\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nKaspersky -\u003e HEUR:Trojan-Ransom.MSIL.Thanos.gen\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.DC!MTB\r\nRising -\u003e Ransom.Thanos!8.11C97 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nВариант от 17 мая 2021: \r\nРасширение (концевое): .CRYSTAL\r\nПолное расширение (пример): .[ID-DE792345].[John2wick@tuta.io].CRYSTAL\r\nЗаписка: HELP_ME_RECOVER_MY_FILES.txt \r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 30 of 44\n\nEmail: John2wick@tuta.io, black_private@tuta.io\r\nВариант от 14 июня 2021: \r\nНо без вредоносного файла точнее сказать трудно. \r\nРасширение (концевое): .getin\r\nПолное расширение (пример): .[ID-7C4B3384].getin\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: Tiberiano@aol.com\r\nВариант от 18 июня 2021: \r\nРасширение: .secure[irrelevantly@aliyun.com]\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: irrelevantly@aliyun.com, willettamoffat@yahoo.com\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 31 of 44\n\nВариант от 18 июня 2021: \r\nРасширение: .[ID-C4BA3647].[kingstonbtc@tutanota.com].CRYSTAL\r\nEmail: kingstonbtc@tutanota.com, pandabit@tuta.io\r\nФайл: Client-0.exe\r\nРезультаты анализов: VT + AR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.DC!MTB\r\nВариант от 1 августа 2021:\r\nРасширение: .REV\r\nЗаписки: HOW_TO_RECOVER_MY_FILES !.hta, HOW_TO_RECOVER_MY_FILES !.txt\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 32 of 44\n\nEmail: Jeremy.albright@criptext.com\r\nФайл: Worker-0.exe\r\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.DC!MTB\r\nВариант от 11 августа 2021:\r\nОпределено как Hakbit. \r\nРасширение: .[ID-9C759153].[pingp0ng@tuta.io].noname\r\nЗаписка: decrypt_info.txt\r\nEmail: pingp0ng@tuta.io, on1ine@tuta.io\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 33 of 44\n\nВариант от 21 сентября 2021: \r\nЗашифрован вариантом Thanos. Невозможно расшифровать без закрытого RSA-ключа. \r\nРасширение: .cyber\r\nЗаписка: Инструкция.txt\r\nEmail: cyber@outlookpro.net\r\nФайл: iE8JUAJp7.exe, Worker-0.exe\r\nРезультаты анализов: VT + AR + TG\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.29\r\nALYac -\u003e Trojan.Ransom.Thanos\r\nBitDefender -\u003e Gen:Trojan.Mardom.MN.12\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nKaspersky -\u003e HEUR:Trojan.Win32.Generic\r\nMalwarebytes -\u003e Malware.AI.3844476070\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.PA!MTB\r\nRising -\u003e Ransom.Thanos!1.D81A (CLASSIC)\r\nSymantec -\u003e Ransom.Thanos\r\nTencent -\u003e Malware.Win32.Gencirc.11cf15a1\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 34 of 44\n\n---\r\nЗамеченные действия: \r\nПроверяет IP с помощью сайта \"icanhazip.com\"\r\nОтключает диспетчер задач через изменение реестра.\r\nЗагружает и использует утилиту PsExec.exe с сайта с SysInternals.\r\nЗапускает утилита sc.exe для управления службами в Windows.\r\nИзменяет ключи реестра, чтобы выводить сообщения: \r\n\\REGISTRY\\MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\r\nNT\\CurrentVersion\\Winlogon\\LegalNoticeCaption = \"Внимание Внимание Внимание!!!\"\r\n\\REGISTRY\\MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\r\nNT\\CurrentVersion\\Winlogon\\LegalNoticeText = \"Добрый день. У Вас возникли сложности на работе? \\r\\nНе\r\nстоит переживать, наши IT-специалисты помогут Вам.\\r\\nДля этого напишите пожалуйста нам на\r\nпочту.\\r\\n\\r\\nНаш email - cyber@outlookpro.net\\r\\n\\r\\nХорошего и продуктивного дня!\"\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 35 of 44\n\n---\r\nПри просмотре файловых пар, например Lighthouse.jpg.cyber и  Lighthouse.jpg, оказалось, что если убрать\r\nрасширение .cyber у файла Lighthouse.jpg.cyber, то изображение не зашифровано и открывается. \r\nВариант от 17 октября 2021: \r\nРасширение: .[ID-8C639BE9].[detect0r@tuta.io].helpme\r\nЗаписка: decrypt_info.txt\r\nEmail: detect0r@tuta.io\r\nTelegram: @Online7_365\r\nВариант от 5 ноября 2021: \r\nРасширение: .stepik\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: steriok12132@tutanota.com, kukajamba@tutanota.com\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 36 of 44\n\nВариант от 16 ноября 2021:\r\nРасширение: .xot5ik\r\nEmail: cyber@outlookpro.net\r\nЗаписка на русском языке: Инструкция.txt\r\nSonar: savefile365\r\nTor-URL: hxxx://sonarmsng5vzwqezlvtu2iiwwdn3dxkhotftikhowpfjuzg7p3ca5eid.onion\r\nРезультаты анализов: VT + VT\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.29\r\nBitDefender -\u003e IL:Trojan.MSILZilla.6980\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMalwarebytes -\u003e Malware.AI.3844476070\r\nMicrosoft -\u003e Trojan:Win32/Sabsik.FL.B!ml, Ransom:MSIL/Thanos.MK!MTB\r\nRising -\u003e Trojan.AntiVM!1.CF63 (CLASSIC)\r\nSymantec -\u003e Ransom.Thanos\r\nTencent -\u003e Win32.Trojan.Generic.Sxoq, Win32.Trojan.Generic.Wuht\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 37 of 44\n\nВариант от 16 ноября 2021:\r\nЗаписка: decrypt_info.txt\r\nEmail: bugagaga@tuta.io\r\nTelegram: @Online7_365\r\nВариант от 4 декабря 2022: \r\nРасширение: .[ID-XXXXXXXX].unlock \r\nРезультаты анализов: VT\r\n➤ Обнаружения: \r\nBitDefender -\u003e IL:Trojan.MSILZilla.7042\r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nKaspersky -\u003e HEUR:Trojan-Ransom.MSIL.Thanos.gen\r\nMalwarebytes -\u003e Malware.AI.4269665178\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 38 of 44\n\nMicrosoft -\u003e Ransom:MSIL/Thanos.DC!MTB\r\nTencent -\u003e Msil.Trojan.Thanos.Szbg\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nВариант от 6 декабря 2021: \r\nРасширение: .[ID-XXXXXXXX].tgipus\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nРезультаты анализов: VT + AR\r\nВариант от 17 декабря 2021 или раньше: \r\nЗаписка: RESTORE_FILES_INFO.txt\r\nTwitter: RobinHoodLeaks\r\nURL: hxxxs://robinhoodleaks.tumblr.com/\r\nqTOX ID: 671263E7BC06103C77146A***\r\n \r\nВариант от 24 декабря 2021: \r\nЗаписка: decrypt_info.txt\r\nEmail: bloody7@tuta.io\r\nTelegram: @Online7_365\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 39 of 44\n\n=== 2022 ===\r\nВариант от 5 января 2022: \r\nЗашифрован вариантом Thanos. Невозможно расшифровать без закрытого RSA-ключа. \r\nРасширение: .ps1wek\r\nЗаписка на русском языке: Инструкция.txt\r\nEmail: secure820@msgsafe.io\r\nSonar: savefile365\r\nВариант от 19 января 2022:\r\nРасширение: .NARUMI\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 40 of 44\n\nРезультаты анализов: VT \r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.29\r\nBitDefender -\u003e Trojan.MSIL.Basic.6.Gen\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMalwarebytes -\u003e Malware.AI.2718680342\r\nRising -\u003e Trojan.Generic/MSIL@AI.90 (RDM.MSIL:2ufeXcvEXJK79F7JTViftA)\r\nSymantec -\u003e Ransom.Thanos\r\nTencent -\u003e Win32.Trojan.Generic.Dygo\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nВариант от 4 февраля 2022: \r\nРасширение: .SABS\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nРезультаты анализов: VT\r\nВариант от 8 февраля 2022:\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 41 of 44\n\nЗашифрован вариантом Thanos. Невозможно расшифровать без закрытого RSA-ключа. \r\nРасширение: .mxf1bd\r\nЗаписка: Инструкция.txt\r\nEmail: secure822@msgsafe.io\r\nSonar: savefile365\r\nВариант от 7 марта 2022:\r\nРасширение: .[ID-2A257XXX].[blackcat7@tuta.io].777\r\nЗаписка: decrypt_info.txt\r\nВариант от 1 июня 2022:\r\nРасширение: .CRYPTEDPAY\r\nЗаписка: RESTORE_THEM.txt\r\nEmail: RansHelp21@tutanota.com\r\nФайл: Client En Last Version txt.exe\r\nРезультаты анализа: VT + AR + IA / VT + AR\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 42 of 44\n\nОбнаружения: \r\nBitDefenderGen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32A Variant Of MSIL/Filecoder.Thanos.A\r\nMalwarebytesMalware.AI.4075621439\r\nMicrosoftRansom:MSIL/Hakbit.SK!MTB\r\nTrendMicroRansom_Hakbit.R002C0DF222\r\nВариант от 21 июня 2022:\r\nРасширение: .cmblabs\r\nФайл: db.exe\r\nРезультаты анализа: VT + IA\r\nОбнаружения: \r\nDrWebTrojan.EncoderNET.29\r\nESET-NOD32A Variant Of MSIL/Filecoder.Thanos.A\r\nTrendMicroRansom.MSIL.THANOS.SM\r\n---\r\nЗдесь и далее вводится упрощенный способ добавления новых вариантов — без ссылок. Это нужно чтобы\r\nуменьшить размер статьи и ускорить ввод информации. \r\n---\r\nВариант от 24 июля 2022: \r\nРасширение: .araicrypt\r\nЗаписка:  READ_TO_RESTORE_YOUR_FILES.txt\r\nEmail: AraiHelp@secmail.pro, AraiHelp2@secmail.pro\r\nIOC: VT + AR + IA\r\nMD5: ce2d158047d9ad9398d8c3135c45c9d0\r\nДобавление новых вариантов прекращено. ⊗\r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 43 of 44\n\nSource: http://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nhttp://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html\r\nPage 44 of 44",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"http://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html"
	],
	"report_names": [
		"hakbit-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434564,
	"ts_updated_at": 1775791245,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c40802e9a3c38bedf1bc57df7baa91af39e3a5c5.pdf",
		"text": "https://archive.orkl.eu/c40802e9a3c38bedf1bc57df7baa91af39e3a5c5.txt",
		"img": "https://archive.orkl.eu/c40802e9a3c38bedf1bc57df7baa91af39e3a5c5.jpg"
	}
}