{
	"id": "8aed3cba-c80e-46d6-9818-96f59d79588b",
	"created_at": "2026-04-06T00:07:39.407891Z",
	"updated_at": "2026-04-10T13:12:04.526239Z",
	"deleted_at": null,
	"sha1_hash": "c496b5db794c1a51244b86a7727ec5696aa3d39c",
	"title": "VoidCrypt",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2635319,
	"plain_text": "VoidCrypt\r\nArchived: 2026-04-05 19:36:09 UTC\r\nVoidCrypt Ransomware\r\nAliases: Void, Chaos \r\nVariants \u0026 NextGen: Spade, Nyan, Pepe, Encrypted, Ninja, Lalaland, Peace,\r\nHidden, Exploit, Bitch, Honor, Help, Mifr, Sophos, Hmm*, Heirloom, Snoopdogg,\r\nBackup, Extortionist, Hydra, Dpr, Musk, Revenant, Poker, Iwan, Crm, Temlown,\r\nADA\r\n(шифровальщик-вымогатель, RaaS) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES (режим GCM или похожий) +\r\nRSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: Void, Chaos,\r\nно в записке не указано. На файле написано: void или что-то еще. Использует библиотеку Crypto++. Часто\r\nмодифицируется. \r\nУплата выкупа не гарантирует расшифровку. \r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Siggen9.36699, Trojan.Encoder.31534, Trojan.Encoder.32640,\r\nTrojan.Encoder.33514, Trojan.Encoder.34782\r\nALYac -\u003e Trojan.Ransom.Filecoder, Trojan.Ransom.Ouroboros, Trojan.Ransom.VoidCrypt\r\nAvast/AVG -\u003eWin32:RansomX-gen [Ransom]\r\nAvira (no cloud) -\u003eTR/FileCoder.zdeun\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.1, DeepScan:Generic.Ransom.AmnesiaE.*\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Ouroboros.E\r\nMalwarebytes -\u003e Ransom.Ouroboros, Ransom.VoidCrypt\r\nMcAfee -\u003e Ransomware-GYP!BA454585B9F4\r\nMicrosoft -\u003e Trojan:Win32/Ashify.J!rfn, Ransom:Win32/Ouroboros.GG!MTB\r\nRising -\u003e Ransom.Gen!8.DE83 (CLOUD), Ransom.Agent!1.C4E7 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence, Downloader\r\nTencent -\u003e Win32.Trojan.Gen.Pfsv, Win32.Trojan.Gen.Htwa\r\nTrendMicro -\u003e TROJ_GEN.R002H09DB20, Ransom.Win32.OUROBOROS.AE,\r\nRansom.Win32.OUROBOROS.B\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 1 of 42\n\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: Ouroboros ✂ \u003e Void, VoidCrypt \u003e new variants \u003e Void NextGen \u003e Spyro\r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .Void\r\nФактически используется составное расширение по шаблону:\r\n.[\u003cemail_ramsom\u003e][ID-\u003cID{15}\u003e].Void\r\nПримеры зашифрованных файлов:\r\nfile001.tif.[USDATAdecrypt@gmail.com][ID-PDTN4Z29J67Q***].Void\r\nfile001.doc.[xtredboy@protonmail.com][ID-EJHPFWKYCNQ5***].Void\r\nfile001.jpg.[stevenxx134@gmail.com][ID-9WFL61BO03TSIC7].Void\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру. Пострадавшие из России, Польши и\r\nдругих стран. \r\nЗаписка с требованием выкупа называется: Decryption-Info.HTA\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 2 of 42\n\nСодержание записки о выкупе:\r\nYour Files has Been Encrypted\r\nYour Files Has Been Encrypted with AES + RSA Algorithm\r\nIf You Need Your Files You Have To Pay Decryption Price\r\nYou can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like\r\nDatabases Large Excel Sheets or Backups\r\nAfter 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up\r\nUsing Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price\r\nThe Steps You Should Do To Get Your Files Back:\r\n1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price\r\n2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)\r\nAfter Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key\r\nYour Case ID :EJHPFWKYCNQ5***\r\nOur Email : xtredboy@protonmail.com\r\nIn Case Of No Answer : Encryptedxtredboy@protonmail.com\r\nПеревод записки на русский язык:\r\nВаши файлы были зашифрованы\r\nВаши файлы были зашифрованы с алгоритмом AES + RSA\r\nЕсли вам нужны ваши файлы, вы должны оплатить стоимость расшифровки\r\nВы можете отправить несколько маленьких файлов менее 1 МБ для теста (тест-файлы не должны\r\nсодержать ценные данные, такие как базы данных, большие листы Excel или резервные копии)\r\nПосле 48 часов цена расшифровки удвоится, так что вам лучше связаться с нами, прежде чем время\r\nвыйдет\r\nИспользование инструментов восстановления или сторонних приложений может привести к повреждению\r\nваших файлов и повышению цены\r\nШаги, которые вы должны сделать, чтобы вернуть ваши файлы:\r\n1- Контакт по email на файлы и отправить ID на файлы, а затем сделать соглашение о цене\r\n2. Отправьте несколько файлов для тест-расшифровки (не платите никому, кто не может расшифровать\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 3 of 42\n\nваши тест-файлы!)\r\nПосле получения тест-файлов заплатите цену в биткойнах и получите инструмент дешифрования + ключ\r\nRSA\r\nID вашего дела: EJHPFWKYCNQ5***\r\nНаш email: xtredboy@protonmail.com\r\nВ случае отсутствия ответа: Encryptedxtredboy@protonmail.com\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Использует легитимные утилиты Everything и Process Hacker 2.\r\n➤ Согласно отчетам Intezer Analyze есть определенное родство с другими проектами программ-вымогателей\r\n, например, с Ouroboros. \r\n \r\nСлева скриншот \"генов\" шифровальщика, а справа — \"гены\" оригинального дешифровщика. Это может\r\nговорить о том, что разработчик VoidCrypt использовал часть разработки из предыдущих проектов. \r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 4 of 42\n\n➤ Оригинальный дешифровщик без закрытого RSA ключа бесполезен. \r\n➤ Используется RSA-2048, потому взломать ключ не получится. VoidCrypt отправляет на свой сервер\r\nпубличный RSA ключ, вместе с ID и IP-адресом жертвы. Публичный ключ и приватный ключ статичны. \r\nПо данным исследователя Майкла Джиллеспи, если пострадавшие фиксировали сетевой трафик во время\r\nзаражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не\r\nполучить. \r\n➤ Скриншоты кода:\r\n➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе\r\nзагрузки, запускает команды по сети, завершает работу серверных служб, управляющих база данных,\r\nотключает файервол и прочее:\r\n stevenxx134@gmail.com.exe\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c net stop SQLWriter\r\n net.exe net stop SQLWriter (PID: 3708)  \r\n net1.exe %WINDIR%\\system32\\net1 stop SQLWriter\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c net stop SQLBrowser\r\n net.exe net stop SQLBrowser\r\n net1.exe %WINDIR%\\system32\\net1 stop SQLBrowser\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c net stop MSSQLSERVER\r\n net.exe net stop MSSQLSERVER\r\n net1.exe %WINDIR%\\system32\\net1 stop MSSQLSERVER\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c net stop MSSQL$CONTOSO1\r\n net.exe net stop MSSQL$CONTOSO1\r\n net1.exe %WINDIR%\\system32\\net1 stop MSSQL$CONTOSO1\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c net stop MSDTC\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 5 of 42\n\nnet.exe net stop MSDTC\r\n net1.exe %WINDIR%\\system32\\net1 stop MSDTC\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c bcdedit /set {default} recoveryenabled no\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c wbadmin delete catalog -quiet\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c net stop SQLSERVERAGENT\r\n net.exe net stop SQLSERVERAGENT\r\n net1.exe %WINDIR%\\system32\\net1 stop SQLSERVERAGENT\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c net stop MSSQLSERVER\r\n net.exe net stop MSSQLSERVER\r\n net1.exe %WINDIR%\\system32\\net1 stop MSSQLSERVER\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c net stop vds\r\n net.exe net stop vds\r\n net1.exe %WINDIR%\\system32\\net1 stop vds\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c netsh advfirewall set currentprofile state off\r\n netsh.exe netsh advfirewall set currentprofile state off\r\n cmd.exe %WINDIR%\\system32\\cmd.exe /c netsh firewall set opmode mode=disable\r\n netsh.exe netsh firewall set opmode mode=disable\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nDecryption-Info.HTA - название файла с требованием выкупа, но в более новых вариантах это файл\r\n!INFO.HTA; \r\nIDo.txt, но в более новых вариантах может быть файл IDk.txt;\r\npubkey.txt, но в более новых вариантах могут быть файлы pkey.txt, prvkey.txt.key, prvkey*.txt.key,\r\nprvkey3.txt.key\r\n\u003crandom\u003e.exe - случайное название вредоносного файла;\r\nstevenxx134@gmail.com.exe - файл из примера, представленного в анализе. \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 6 of 42\n\nC:\\ProgramData\\IDo.txt\r\nC:\\ProgramData\\pubkey.txt\r\nD:\\yo\\chaos\\Release\\chaos.pdb \r\nИспользует сервисы определения IP-адресов:\r\nxxxx://www.sfml-dev.org/ip-provider.php\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail-1: xtredboy@protonmail.com, Encryptedxtredboy@protonmail.com\r\nEmail-2: USDATAdecrypt@gmail.com\r\nEmail-3: stevenxx134@gmail.com\r\nEmail-4: steven77xx@mail.ru, Steven77xx@protonmail.com\r\nURL изображения замка (VT-проверка): xxxxs://i.ibb.co/2PXVhhm/1.png\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\n🔻 Triage analysiss \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 7 of 42\n\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ОРИГИНАЛЬНЫЕ ДЕШИФРОВЩИКИ === DECRYPTORS/DECODERS ===\r\nВариант 2020 года (ранний)\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 8 of 42\n\nВариант 2021 года\r\nНаличие оригинального дешифровщика не обеспечивает расшифровку файлов, т.к. требуется RSA-ключ,\r\nкоторый есть только у вымогателей. \r\nЕсли файлы очень нужны, рекомендуем попытаться договориться с вымогателями о снижении суммы\r\nвыкупа. \r\nЕсли никто не отвечает с email-адресов, указанного в записке с требованием выкупа, отправьте им еще\r\nодно письмо. \r\nЕсли что-то пойдет не так, то вы можете отправить друг другу сообщение через комментарии на этой\r\nстранице. \r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nZeropadypt Ransomware - с апреля 2019. \r\nOuroboros Ransomware (разные версии) - июнь-октябрь 2019. \r\nOuroboros Ransomware v6 - октябрь-декабрь 2019. \r\nOuroboros Ransomware v7 - с января 2020. \r\nVoidCrypt (Void, Chaos) Ransomware - с апреля по август 2020. \r\nБолее новые варианты см. ниже в разделе обновлений. \r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 10-11 апреля 2020:\r\nРасширение: .Void\r\nПример составного расширения: .[DECRPToffice@gmail.com][ID-YOP64ULC0ZNK2BH].Void\r\nEmail: DECRPToffice@gmail.com, DECRPT@tutanota.com\r\nСпециальные файлы: IDo.txt, pubkey.txt\r\nФайл EXE: DECRPToffice@gmail.com.exe\r\nРезультаты анализов: VT + HA + IA + AR\r\nВариант от 14 апреля 2020:\r\nПост на форуме \u003e\u003e\r\nРасширение: .void\r\nЗаписка: Decryption-Info.HTA\r\nEmail: SupportVoid@elude.in, SoporteVoid@tutanota.com\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 9 of 42\n\nВариант от 20 апреля 2020: \r\nРасширение: .Void\r\nEmail: encryptc4@elude.in\r\nBTC: 194Bhb2JsFo56uXtHJXcKL6Nnb2g9mreYf\r\nВариант 22-26 апреля 2020: \r\nРасширения: .void\r\nEmail: DECRPToffice@gmail.com\r\nDECRPT@tutanota.com\r\nHichkasam@protonmail.com\r\nhelpdiamond@protonmail.com\r\n➤ Содержание записки:\r\nYour Files has Been Encrypted\r\nYour Files Has Been Encrypted with AES + RSA Algorithm\r\nIf You Need Your Files You Have To Pay Decryption Price\r\nYou can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like\r\nDatabases Large Excel Sheets or Backups\r\nAfter 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up\r\nUsing Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price\r\nThe Steps You Should Do To Get Your Files Back:\r\n1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price\r\n2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)\r\nAfter Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key\r\nYour Case ID :0HJ2IBSWF4*****\r\nOur Email : DECRPToffice@gmail.com\r\nIn Case Of No Answer : DECRPT@tutanota.com\r\n-----\r\nВариант от 27 апреля 2020:\r\nЗаписка: Decryption-Info.HTA\r\nEmail: unl0ckerpkx@tutanota.com\r\nВариант от 2 мая 2020:\r\nСообщение \u003e\u003e\r\nЗаписка: Decryption-Info.HTA\r\nEmail: BrillianceBK@protonmail.com\r\nLizardBkup@protonmail.com\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 10 of 42\n\nВариант от 5 мая 2020:\r\nПост на форуме \u003e\u003e\r\nРасширение: .Void\r\nПример составного расширения: .[Elmershawn@aol.com][ID-YPRVMKTQ3ABOHUC].Void\r\nElmershawn@aol.com\r\nЗаписка: Decryption-Info.HTA\r\nEmail: Elmershawn@aol.com\r\nВариант от 5 мая 2020:\r\nРасширение: .Void\r\nПример составного расширения: .[encryptc4@elude.in][ID-3QXAC6HWP15CKJO].Void\r\nЗаписка: Decryption-Info.HTA\r\nEmail: encryptc4@elude.in, encryptc4@protonmail.com \r\nВариант от 1-11 июня 2020:\r\nРасширение: .Void\r\nПример составного расширения: .[decoderma@tutanota.com][ID-VKSQ8N24CPZTU1O].VoidЗаписка: Decryption-Info.HTA\r\nEmail: decoderma@tutanota.com, decoderma@protonmail.com \r\nСпециальные файлы: IDo.txt, pubkey.txt\r\nФайл EXE: decoderma@tutanota.com.exe\r\nРезультаты анализов: VT + HA + IA + AR + TG\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 11 of 42\n\n➤ Содержание записки:\r\nYour Files has Been Encrypted\r\nYour Files Has Been Encrypted with AES + RSA Algorithm \r\n If You Need Your Files You Have To Pay Decryption Price \r\n You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like\r\nDatabases Large Excel Sheets or Backups \r\n After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up\r\n Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price \r\nThe Steps You Should Do To Get Your Files Back: \r\n1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price\r\n2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!) \r\nAfter Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key\r\nYour Case ID :N0GXF7YZ31L4***\r\nOur Email : decoderma@tutanota.com \r\nIn Case Of No Answer : decoderma@protonmail.com \r\n---\r\nВариант 17 июня 2020: \r\nРасширения: .Void\r\nEmail: missdecryptor@protonmail.com\r\nVoidFiles@tutanota.com\r\nVoidFiles@protonmail.com\r\nВариант 22-25 июня 2020: \r\nРасширения: .Void\r\nEmail: Pentagon11@protonmail.com\r\nguaranteedsupport@protonmail.com\r\nВариант от 7 июля 2020:\r\nСообщение \u003e\u003e\r\nРасширение: .Void\r\nПример составного расширения: .[coronavirus19@tutanota.com][ID-RKF4U16NY3L5QV3].Void\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 12 of 42\n\nЗаписка: Decryption-Info.HTA\r\nEmail: coronavirus19@tutanota.com, ghostmax@cock.li \r\nРезультаты анализов: VT + HA + IA\r\nВариант 7-17 июля 2020: \r\nРасширения: .Void\r\nEmail: guaranteedsupport@protonmail.com\r\ndecrypterfile@mailfence.com\r\nhosdecoder@aol.com\r\nВариант от 10 июля 2020:\r\nСообщение \u003e\u003e\r\nРасширение: .Void\r\nПример составного расширения: .[decrypterfile@mailfence.com][ID-KF4U1Y3L5R6NQV3].Void\r\nЗаписка: Decryption-Info.HTA\r\nEmail: decrypterfile@mailfence.com, decrypterfile@protonmail.com\r\nФайл: decrypterfile@mailfence.com.exe\r\nРезультаты анализов: VT + HA + IA\r\nВариант 22-28 июля 2020: \r\nРасширения: .Void\r\nEmail: hosdecoder@aol.com\r\nsleepme134@gmail.com\r\ncolderman@mailfence.com\r\nВариант от 2 августа 2020:\r\nПост на форуме \u003e\u003e\r\nРасширение: .Void\r\nПример составного расширения: .[encrypt4u@tutanota.com][ID-14CAHRSI*******].Void\r\nEmail: encrypt4u@tutanota.com\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 13 of 42\n\nВариант от 9 августа 2020: \r\nСообщение \u003e\u003e\r\nПост на форуме \u003e\u003e\r\nСообщение \u003e\u003e\r\nРасширение: .Spade\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].Spade\r\nСоставное расширение (пример): .[encryptfile@protonmail.com][JU0W5VC7I43M9TX].Spade\r\nЗаписка: Read-For-Decrypt.HTA\r\nEmail: encryptfile@protonmail.com, encryptfile@cock.li \r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.32312\r\nBitDefender -\u003e DeepScan:Generic.Ransom.AmnesiaE.D96CE88E\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Ouroboros.E\r\nMalwarebytes -\u003e Ransom.Ouroboros\r\nRising -\u003e Ransom.Agent!1.C4E7 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Win32.Trojan.Filecoder.Wogk\r\nTrendMicro -\u003e CallTROJ_GEN.R002H0CHA20\r\n---\r\n➤ Содержание записки: \r\nYour Files Has Been Encrypted\r\nAll Your Files , Documents , photos , Databases and other important files are encrypted \r\nAnd have Extention .Spade \r\nIf You Need Your Files You Have To Pay\r\nYou can Send 1 Little File Less Than 2MB for Test (The Test Files Should not be Databases Large Excel Sheets or\r\nBackups \r\nAfter 24 Hour Decryption Price Will be Doubled so You Better Contact us as soon as possible\r\nUsing Recovery Tools or 3rd Party Applications is useless you can try tough\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 14 of 42\n\n1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price\r\n2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!) \r\nAfter Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key\r\nYour ID :JU0W5VC7I43M9TX \r\nour Email :encryptfile@protonmail.com \r\nIn Case Of No Answer :encryptfile@cock.li \r\nВариант от 28 августа 2020:\r\nТопик на форуме \u003e\u003e\r\nСообщение \u003e\u003e\r\nРасширение: .Spade\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].Spade\r\nСоставное расширение (пример): .[rsaencrypt@tutanota.com][UTEO6F1MLDG30QH].Spade\r\nЗаписка: Read-For-Decrypt.HTA\r\nEmail: rsaencrypt@tutanota.com, rsaencrypt@protonmail.ch\r\nВариант от 18 сентября 2020:\r\nРасширение: .Spade\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].Spade\r\nСоставное расширение (пример): .[Wannadecryption@gmail.com][PSBW2FGV4CJ3YU1].Spade\r\nEmail: Wannadecryption@gmail.com\r\nФайл: dwm.exe\r\nРезультаты анализов: VT + IA\r\nВариант от 18 сентября 2020:\r\nРасширение: .Spade\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].Spade\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 15 of 42\n\nСоставное расширение (пример): .[SpadeEncrypt@tutanota.com][2XPU94ACJRDM6IZ].Spade\r\nEmail: SpadeEncrypt@tutanota.com, SpadeEncrypt@protonmail.com\r\nВариант от 24 сентября:\r\nEmail: ftworksergey@gmail.com\r\ndeccoder431@protonmail.com\r\nhelpsdec@tutanota.com\r\n---\r\nПострадавшие сообщили, что после уплаты выкупа, с этих адресов ведётся дополнительное\r\nвымогательство денег. Выдержка их переписки с вымогателями:\r\nПострадавший пользователь:\r\nМы оплатили, вы обещали скинуть код после оплаты первой части.\r\n---\r\nОтвет вымогателей: \r\nДа, подтверждаем. Нет проблем, и наш админ вам доверяет. \r\nВы можете получить помощь от Google по выбору способа оплаты.\r\n---\r\nСнова ответ вымогателей: \r\nМы не просили дополнительных денег. Один раз наш администратор вам доверял, а вы заплатили\r\nнебольшую сумму. Чтобы вернуть доверие нашего администратора, вам придется заплатить остальную\r\nсумму, потому что мы вам больше не доверяем.\r\nВариант от 30 сентября 2020: \r\nРасширение: .nyan\r\nСоставное расширение (пример): .[decinfo7@gmail.com][5IBQ6JU4K7NPDS0].nyan\r\nEmail: decinfo7@gmail.com\r\nВариант от 7 октября 2020: \r\nРасширение: .pepe\r\nСоставное расширение (пример): .[decodevoid@gmail.com][TQFHAEMWJL2UV01].pepe\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 16 of 42\n\nЗаписка: !INFO.HTA\r\nEmail: decodevoid@gmail.com, docodepepe@gmail.com\r\n➤ Содержание записки: \r\n!!! Your Files Has Been Encrypted !!!♦ your files has been locked with highest secure cryptography algorithm ♦ \r\n♦ there is no way to decrypt your files without paying and buying Decryption tool♦ \r\n♦ but after 48 hour decryption price will be double♦ \r\n♦ you can send some little files for decryption test♦\r\n♦ test file should not contain valuable data♦\r\n♦ after payment you will get decryption tool ( payment Should be with Bitcoin)♦\r\n♦ so if you want your files dont be shy feel free to contact us and do an agreement on price♦\r\n♦ !!! or Delete you files if you dont need them !!!♦Your ID :TQFHAEMWJL2U*** \r\nour Email :decodevoid@gmail.com \r\nIn Case Of No Answer :docodepepe@gmail.com\r\nВариант от 8 октября 2020:\r\nРасширение: .Encrypted\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].Encrypted\r\nСоставное расширение (пример): .[EnceryptedFiles@tutanota.com][GY0ZUXN421RIA6D].Encrypted\r\nЗаписка: !INFO.HTA\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 17 of 42\n\nEmail: EnceryptedFiles@tutanota.com, ReturnEncerypted@tutanota.com\r\n➤ В записке теперь используются два онлайн-изображения:\r\nhttps://www.kaspersky.com/content/en-global/images/repository/isc/2017-images/encryption.jpg\r\nhttps://www.iconsdb.com/icons/preview/red/lock-xxl.png\r\n➤ Содержание записки:\r\n!!! Your Files Has Been Encrypted !!!♦ your files has been locked with highest secure cryptography algorithm ♦ \r\n♦ there is no way to decrypt your files without paying and buying Decryption tool♦ \r\n♦ but after 48 hour decryption price will be double♦ \r\n♦ you can send some little files for decryption test♦\r\n♦ test file should not contain valuable data♦\r\n♦ after payment you will get decryption tool ( payment Should be with Bitcoin)♦\r\n♦ so if you want your files dont be shy feel free to contact us and do an agreement on price♦\r\n♦ !!! or Delete you files if you dont need them !!!♦Your ID :GY0ZUXN421RIA6D \r\nour Email :EnceryptedFiles@tutanota.com \r\nIn Case Of No Answer :ReturnEncerypted@tutanota.com\r\nВариант от 13 октября 2020:\r\nРасширение: .ninja\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].ninja\r\nСоставное расширение (пример): .[dr8002dr@mailfence.com][EIPDQY84TM6X1V2].ninja\r\nЗаписка: !INFO.HTA\r\nEmail: dr8002dr@mailfence.com\r\nВариант от 14 октября 2020:\r\nРасширение: .lalaland\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].lalaland\r\nСоставное расширение (пример): .[recover10@tutanota.com][LIEP5WCT1JBDSVZ].lalaland\r\nЗаписка: !INFO.HTA\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 18 of 42\n\nРезультаты анализов: VT + IA\r\nВариант от 17 октября 2020:\r\nРасширение: .Peace\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].Peace\r\nСоставное расширение (пример): .[peace491@tuta.io][U1OR08LYSBGXF3D].Peace\r\nЗаписка: !INFO.HTA\r\nEmail: peace491@tuta.io\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.32640\r\nALYac -\u003e Trojan.Ransom.VoidCrypt\r\nAvira (no cloud) -\u003e TR/AD.OuroborosRansom.fkiqo\r\nBitDefender -\u003e DeepScan:Generic.Ransom.AmnesiaE.*\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Ouroboros.E\r\nMalwarebytes -\u003e Ransom.VoidCrypt\r\nВариант от 23 октября 2020:\r\nРасширение: .Hidden\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].Hidden\r\nСоставное расширение (пример): .[Wannadecryption@gmail.com][J61FB5P23IKT***].Hidden\r\nEmail: Wannadecryption@gmail.com\r\nЗаписка: !INFO.HTA\r\n➤ Содержание записки: \r\n!!! Your Files Has Been Encrypted !!!\r\n♦ your files has been locked with highest secure cryptography algorithm ♦\r\n♦ there is no way to decrypt your files without paying and buying Decryption tool♦\r\n♦ but after 48 hour decryption price will be double♦\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 19 of 42\n\n♦ you can send some little files for decryption test♦\r\n♦ test file should not contain valuable data♦\r\n♦ after payment you will get decryption tool ( payment Should be with Bitcoin)♦\r\n♦ so if you want your files dont be shy feel free to contact us and do an agreement on price♦\r\n♦ !!! or Delete you files if you dont need them !!!♦\r\nYour ID :J61FB5P23IKT***\r\nour Email :Wannadecryption@gmail.com\r\nIn Case Of No Answer :Wannadecryption@gmail.com\r\nВариант от 28 октября 2020:\r\nРасширение: .bitch\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].bitch\r\nСоставное расширение (пример): .[sleepme134@gmail.com][Z7G1J92VROQT***].bitch\r\nEmail: sleepme134@gmail.com\r\nВариант от 29 октября 2020:\r\nРасширение: .exploit\r\nСоставное расширение (шаблон): .[email_ramsom][\u003cID{15}\u003e].exploit\r\nСоставное расширение (пример): .[alix1011@mailfence.com][IGR4QWBC1HO2JNY].exploit\r\nЗаписка: !INFO.HTA\r\nEmail: alix1011@mailfence.com\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 20 of 42\n\nРезультаты анализов: VT + IA\r\nВариант от 16 ноября 2020: \r\nРасширение: .honor\r\nСоставное расширение (пример): .[honorsafe@keemail.me][XXXXXXXXXXXXXXX]*.honor\r\nEmail: honorsafe@keemail.me, honorsafe@protonmail.ch\r\nПод * - разные номера. \r\nЗаписки: !INFO.HTA, !INFO2.HTA\r\nВариант от 1 декабря 2020: \r\nРасширение: .help\r\nСоставное расширение (пример): .[galivertones@aol.com][XXXXXXXXXXXXXXX].help\r\nЗаписка: !INFO.HTA\r\nРезультаты анализов: VT + IA\r\nВариант от 3 декабря 2020:\r\nРасширение: .Void\r\nEmail: 666lilium666@gmail.com, gregoryluton021021@gmail.com\r\nПо сообщению пострадавшего, обманывают, не предоставляют дешифровку, хотят больше денег. \r\nВариант от 7 декабря 2020:\r\nРасширение: .Spade\r\nСоставное расширение (пример): .[lossdata@tutanota.com][1KUGSZMEY0JRP5T].Spade\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 21 of 42\n\nEmail: lossdata@tutanota.com\r\nВариант от 11 декабря 2020: \r\nРасширение: .mifr\r\nСоставное расширение (пример): .[Hiden_pro@aol.com][VAI08SP61LHCXZ9].mifr\r\nЗаписка: !INFO.HTA\r\nEmail: Hiden_pro@aol.com, Hiden_pro@tutanota.com\r\nВариант от 13 декабря 2020:\r\nРасширение: .Sophos\r\nСоставное расширение (пример): .[encryptadm@criptext.com][VAICXP61L8S5XY5].Sophos\r\nЗаписка: !INFO.HTA\r\nEmail: encryptadm@criptext.com, decryptadm@criptext.com\r\nФайл проекта: C:\\Users\\Legion\\source\\repos\\curl\\Release\\curl.pdb\r\nФайл: LOL.exe\r\nРезультаты анализов: VT + IA\r\n=== 2021 ===\r\nВариант от 4 января 2021: \r\nРасширение: .hmmmmmmmm\r\nСоставное расширение (пример): .[Windows358@tuta.io][3MUPT6SILJF2QNK].hmmmmmmmm\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 22 of 42\n\nЗаписка: !INFO.HTA\r\nEmail: Windows358@tuta.io, windows358@mailfence.com\r\nВариант от 6 января 2021:\r\nРасширение: .heirloom\r\nЗаписка: !INFO.HTA\r\nСоставное расширение (пример): .[rebkeilo@gmail.com][NZX1IC9GYJMSH6K].heirloom\r\nEmail: rebkeilo@gmail.com, decode.emf@tutanota.com\r\nВариант от 10 января 2021:\r\nРасширение: .hmmmmm\r\nСоставное расширение (пример): .[Adm0251@tuta.io][P9TJVIU3MWAC2Y5].hmmmmm\r\nEmail: Adm0251@tuta.io, Aser51a0@protonmail.io\r\nЗаписка: !INFO.HTA\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 23 of 42\n\nВариант января или февраля: \r\nРасширение: .k2\r\nСоставное расширение (пример): .[Helpforfiles@xmpp.es][3R1EO5WNJM7A6DQ].k2\r\nЗаписка: !INFO.HTA\r\nEmail: helpforfiles@xmpp.es, helpforfiles@cock.li, helpforfiles@criptext.com\r\nВариант от 22 января 2021:\r\nРасширение: .Spade\r\n.[whiopera@tutanota.com][UZ82E3JFASPT476].Spade\r\nЗаписка: !INFO.HTA\r\nEmail: whiopera@tutanota.com, whiopera@aol.com \r\n➤ Содержание записки: \r\nYour Files has Been Encrypted\r\nYour Files Has Been Encrypted with AES + RSA Algorithm \r\n If You Need Your Files You Have To Pay Decryption Price \r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 24 of 42\n\nYou can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like\r\nDatabases Large Excel Sheets or Backups \r\n After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up\r\n Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price \r\nThe Steps You Should Do To Get Your Files Back: \r\n1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price\r\n2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!) \r\nAfter Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key\r\nYour Case ID :XXXXXXXXXXXXXXX \r\n Our Email : whiopera@tutanota.com \r\n In Case Of No Answer : whiopera@aol.com \r\nВариант от 16 февраля 2021: \r\nВидимо вариант аналогичный предыдущему. Это подтверждает, что он продолжает распространяться. \r\nРасширение: .Spade\r\nСоставное расширение (пример): .[whiopera@tutanota.com][9E3NH7AGLM5T1BV].Spade\r\nEmail: whiopera@tutanota.com, whiopera@aol.com \r\nЗаписка: !INFO.HTA\r\nВариант от 25 февраля 2021:\r\nРасширение: .Snoopdogg\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 25 of 42\n\nСоставное расширение (пример): .[Openfileyou@protonmail.com][MJ-MJ3902574681].Snoopdogg\r\nЗаписка: Decrypt-me.txt\r\nEmail:Openfileyou@protonmail.com, Openfileyou@mailfence.com\r\nСпециальные файлы: idk.txt, pkey.txt, prvkey2.txt, prvkey2.txt.key, prvkey*.txt.key, prvkey3.txt.key\r\nФайл: Openfileyou@protonmail.com.exe (добавляется в Автозагрузку)\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.Encoder.33514\r\nALYac -\u003e Trojan.Ransom.VoidCrypt\r\nBitDefender -\u003e DeepScan:Generic.Ransom.AmnesiaE.4685843F\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Ouroboros.G\r\nIkarus -\u003e Trojan-Ransom.Ouroboros\r\nMalwarebytes -\u003e Generic.Malware/Suspicious\r\nMicrosoft -\u003e Trojan:Win32/Ymacco.AA16\r\nRising -\u003e Trojan.Filecoder!8.68 (CLOUD)\r\nTencent -\u003e Win32.Trojan.Filecoder.Swvd\r\nTrendMicro -\u003e TROJ_GEN.R002H09BP21\r\nВариант от 16 марта 2021:\r\nРасширение: .Backup\r\nСоставное расширение (пример): .[unlockdata@criptext.com][MJ-XK8920513570].Backup\r\nЗаписка: Decrypt-me.txt\r\nEmail: unlockdata@criptext.com, unlockdata@rape.lol\r\nВариант от 25 марта 2021:\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 26 of 42\n\nРасширение: .Extortionist\r\nСоставное расширение (пример): .[openthefile@tutanota.com][MJ-WV0183796245].Extortionist\r\nEmail: openthefile@tutanota.com, openthefile@tutanota.com\r\nВариант от 1 апреля 2021:\r\nРасширение: .Acrux\r\nСоставное расширение (пример): .[decodeacrux@gmail.com][MJ-ZV7502894316].Acrux\r\nЗаписка: Decrypt-me.txt\r\nEmail: decodeacrux@gmail.com, decodeacrux@msgsafe.io\r\nВариант от 12 апреля 2021:\r\nРасширение: .hydra\r\nСоставное расширение (пример): .[wyooy@tutanota.com][MJ-XXXXXXXXXXXX].hydra \r\nЗаписка: Decrypt-me.txt \r\nРасположения: \r\nC:\\Users\\Legion\\source\\repos\\last project\\Release\\curl.pdb\r\nC:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\wyooy@aol.com.exe\r\nФайл: wyooy@aol.com.exe\r\nРезультаты анализов: VT + TG\r\n➤ Обнаружения:\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 27 of 42\n\nDrWeb -\u003e Trojan.Encoder.33834\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Ouroboros.G\r\nKaspersky -\u003e HEUR:Trojan.Win32.Stosek.gen\r\nMalwarebytes -\u003e Ransom.FileCryptor\r\nMicrosoft -\u003e Ransom:Win32/HydraCrypt.PAA!MTB\r\nQihoo-360 -\u003e Win32/Ransom.Amnesia.HwoCiSgA\r\nRising -\u003e Trojan.Filecoder!8.68 (CLOUD)\r\nTencent -\u003e Win32.Trojan.Stosek.Wncv\r\nTrendMicro -\u003e TrojanSpy.Win32.AMNESIAE.USMANDC21\r\nВариант от 28 апреля 2021:\r\nРасширение: .Dpr\r\nСоставное расширение (пример): .[Decode@criptext.com][MJ-HJ1650237498].Dpr\r\nЗаписка: Decrypt-me.txt\r\nEmail: Decode@criptext.com, Howtodecrypt@elude.in\r\nВариант от 1 мая 2021:\r\nРасширение: .Musk\r\nСоставное расширение (пример): .[xmasnpor@tuta.io][MJ-KI8624530179].Musk\r\nЗаписка: Decrypt-me.txt\r\nВариант от 6 мая 2021:\r\nРасширение: .Revenant\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 28 of 42\n\nСоставное расширение (пример): .[\u003cemail\u003e][MJ-XXXXXXXXXXXX].Revenant\r\nЗаписка: Decrypt-me.txt\r\nEmail: xsmaxs@tutanota.com, xsmaxs@aol.com\r\nФайл: xsmaxs@tutanota.com.exe\r\nРезультаты анализов: VT + HA + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33910, Trojan.Encoder.34144\r\nALYac -\u003e Trojan.Ransom.VoidCrypt\r\nBitDefender -\u003e DeepScan:Generic.Ransom.AmnesiaE.5182A77C\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Ouroboros.G\r\nMalwarebytes -\u003e Ransom.VoidCrypt\r\nTencent -\u003e Win32.Trojan.Stosek.Piam\r\nTrendMicro -\u003e Ransom.Win32.VOIDCRYPT.SM\r\nВариант от 28 мая 2021: \r\nРасширение: .poker\r\nСоставное расширение (пример): .[poker021@mailfence.com][MJ-AY9754083261].poker\r\nЗаписка: Decrypt-me.txt\r\nEmail: poker021@mailfence.com, poker021@tutanota.com\r\nДополнительно: CPU/GPU miner XMRig\r\nФайл проекта: C:\\Users\\legion\\source\\repos\\last project\\release\\curl.pdb\r\nРезультаты анализов: VT + HA + IA + TG\r\n➤ Обнаружения:\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 29 of 42\n\nDrWeb -\u003e Trojan.Encoder.33514\r\nALYac -\u003e Trojan.Ransom.VoidCrypt\r\nBitDefender -\u003e DeepScan:Generic.Ransom.AmnesiaE.99954073\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Ouroboros.G\r\nKaspersky -\u003e HEUR:Trojan.Win32.Stosek.gen\r\nMicrosoft -\u003e Ransom:Win32/HydraCrypt.PAA!MTB\r\nRising -\u003e Trojan.Filecoder!8.68 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Win32.Trojan.Stosek.Hpc\r\nTrendMicro -\u003e Ransom_HydraCrypt.R002C0DDH21\r\nЕсть пропущенные варианты...\r\nВариант от 3 августа 2021:\r\nРасширение (пример): .[email][ID].grandeur\r\nВариант от 24 августа 2021: \r\nРасширение: .K2\r\nСоставное расширение (пример): .[Helpforfiles@criptext.com][MJ-KC0647293158].K2\r\nEmail: Helpforfiles@criptext.com\r\nВариант от 1 сентября 2021:\r\nРасширение: .Iwan\r\nСоставное расширение (пример): .[iwantfiles2016@gmail.com][MJ-RQ2376815072].Iwan\r\nEmail: iwantfiles2016@gmail.com, Backupyourfiles2016@gmail.com\r\nЗаписка: Read-this.txt\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 30 of 42\n\nВариант от 13 сентября 2021:\r\nРасширение: .lambda\r\nСоставное расширение (пример): .[whirmx@gmail.com][MJ-LB0625153567].lambda\r\nЗаписка: Read-this.txt\r\nEmail: whirmx@gmail.com, whirmx@tutanota.com\r\nВариант от 21 сентября 2021:\r\nРасширение: .crm\r\nСоставное расширение (пример): .[poytemol@gmail.com][MJ-LB0726138549].crm\r\nЗаписка: Read-this.txt\r\nEmail: poytemol@gmail.com\r\nВариант от 26 сентября 2021:\r\nРасширение: .temlown\r\nСоставное расширение (пример): .[noitanimodd@gmail.com][MJ-WA9473106825].temlown\r\nЗаписка: Read-this.txt\r\nEmail: noitanimodd@gmail.com, temloown@tuta.io\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 31 of 42\n\nВариант от 8 октября 2021:\r\nРасширение: .ADA\r\nСоставное расширение (пример): .[kixonw@gmail.com][MJ-XXXXXXXXXXXX].ADA\r\nЗаписка: read-me.txt\r\nEmail: kixonw@gmail.com, kixonw@tutanota.com\r\nФайл ключа: prvkey.txt.key\r\nВариант от 24 ноября 2021:\r\nСоставное расширение (пример): .[RansomwareSupport@zohomail.com][MJ-XXXXXXXXXXXX].crypyt\r\nЗаписка: Read-this.txt\r\nEmail: RansomwareSupport@zohomail.com, AppleRansomware1024@tutanota.com\r\nВариант от 7 декабря 2021: \r\nРасширение: .wixawm \r\nСоставное расширение (пример): ,(MJ-TE8273190645)(wixawm@gmail.com).wixawm\r\nЗаписки: Decryption-Guide.txt, Decryption-Guide.HTA\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 32 of 42\n\nEmail: wixawm@gmail.com\r\nРезультаты анализов: VT + TG \r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.Encoder.34724\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Ouroboros.G\r\nMicrosoft -\u003e Ransom:Win32/Taleb.PAA!MTB\r\nTencent -\u003e Malware.Win32.Gencirc.11dacb8a\r\nTrendMicro -\u003e Ransom.Win32.Wixawm.THLAOBA\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 33 of 42\n\nВариант от 12 декабря 2021 или раньше: \r\nРасширение: .lilium\r\nСоставное расширение (пример): .[Open_file@tutanota.com][I0QNXLFZ5CHA350].lilium\r\nЗаписка: openFiles.txt\r\nEmail: Open_file@tutanota.com\r\nВариант от 26 декабря 2021: \r\nРасширение: .killer \r\nСоставное расширение (пример): .(MJ-UW3765438901)(Dark_evil@tutanota.com).killer \r\nЗаписки: Decryption-Guide.txt, Decryption-Guide.HTA\r\nEmail: Dark_evil@tutanota.com\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 34 of 42\n\n=== 2022 ===\r\nВариант от 20 января 2022 или раньше: \r\nРасширение: .wixawm\r\nСоставное расширение (пример): ,(MJ-KM5452617602)(helpcenter2008@gmail.com).wixawm\r\nЗаписки: Decryption-Guide.txt, Decryption-Guide.HTA\r\nEmail: helpcenter2008@gmail.com\r\nДругие файлы: IDk.txt, pkey.txt, RSAKEY.key\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 35 of 42\n\nВариант от 7 февраля 2022: \r\nРасширение: .Godox\r\nСоставное расширение (пример): .(MJ-PH7316520894)(Folperdock@gmail.com).Godox\r\nЗаписки: Decryption-Guide.txt, Decryption-Guide.HTA\r\nEmail: Folperdock@gmail.com\r\nФайл: Taleb.Ransom.exe\r\nРезультаты анализов: VT + IA + TG + TG + AR\r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.Encoder.34668\r\nBitDefender -\u003e DeepScan:Generic.Ransom.AmnesiaE.0C6334A1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Ouroboros.G\r\nMicrosoft -\u003e Ransom:Win32/Taleb.PAA!MTB\r\nTrendMicro -\u003e Ransom_Taleb.R002C0DBN22\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 36 of 42\n\nВариант от 1 марта 2022:\r\nРасширение: .help\r\nСоставное расширение (пример): .[marcosmelborn@aol.com][MJ-IL7853194653].help\r\nЗаписки: Decryption-Guide.txt, Decryption-Guide.HTA\r\nEmail: marcosmelborn@aol.com\r\nФайл: marcosmelborn@aol.com.exe\r\nВариант от 17 марта 2022:\r\nРасширение: .Joker\r\nСоставное расширение (пример): .(MJ-YI5718946543)(decryptionmypc2017@gmail.com).Joker\r\nЗаписки: Decryption-Guide.txt, Decryption-Guide.HTA\r\nEmail: decryptionmypc2017@gmail.com\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 37 of 42\n\nВариант от 8 апреля 2022:\r\nРасширение: .Gilfillan\r\nЗаписки: Decryption-Guide.HTA, Decryption-Guide.txt \r\nФайл: windows update.exe\r\nРезультаты анализов: VT + IA\r\nВариант от 8 апреля 2022:\r\nРасширение: .Cj\r\nЗаписки: Decryption-Guide.HTA, Decryption-Guide.txt \r\nEmail: decryptcj@gmail.com\r\nФайл: decryptcj@gmail.com.exe (urfusjw4y.dll)\r\nРезультаты анализов: VT\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.35172\r\nBitDefender -\u003e DeepScan:Generic.Ransom.AmnesiaE.40F5C717\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Ouroboros.G\r\nMicrosoft -\u003e Trojan:Script/Phonzy.A!ml\r\nTrendMicro -\u003e TROJ_GEN.R002C0WD822\r\nВариант от 17 мая 2022: \r\nРасширение: .BTC \r\nСоставное расширение (пример): .(MJ-GW8351096274)(RansomwareSupport@ZohoMail.com).BTC\r\nЗаписка: unlock-info.txt\r\nEmail: ransomwaresupport@zohomail.com\r\nРезультаты анализов: VT + IA\r\nВариант от 31 мая 2022: \r\nРасширение: .moonshadow \r\nЗаписки: Decryption-Guide.HTA, Decryption-Guide.txt\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 38 of 42\n\nФайл: 3bbum7zjr.dll\r\nРезультаты анализа: VT + IA\r\nВариант от 4 июня 2022: \r\nСообщение: twitter.com/pcrisk/status/1533690435566288897\r\nРасширение: .linda \r\nЗаписка: !INFO.HTA\r\nФайл: e4eg0dg52.dll\r\nРезультаты анализа: VT + IA\r\nВариант от 13 июля 2022: \r\nСообщение: twitter.com/pcrisk/status/1547546065632694276\r\nРасширение: .MRN\r\nЗаписка: unlock-info.txt\r\nIOC: VT: MD: 73489e8d0610d9c2b4b5d97789133f8b\r\nВариант от 21 июля 2022: \r\nСообщение: twitter.com/pcrisk/status/1551478801816866816\r\nРасширение: .1more\r\nЗаписка: unlock-info.txt\r\nIOC: VT: MD: af3698b5f8e8c43074e1c51dcc6aff18\r\nВариант от 30 июля 2022: \r\nСообщение: twitter.com/pcrisk/status/1554065353839452162\r\nРасширение: .Payt\r\nСоставное расширение (пример): .[MJ-XXXXXXXXXXXX](\u003cemail\u003e).Payt \r\nЗаписка: ReadthisforDecode.txt\r\nIOC: VT: MD: c92ba13959091b5c8d438c24f437f6af\r\nВариант от 4 августа 2022:\r\nРасширение: .RAH\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 39 of 42\n\nСоставное расширение (пример): .[MJ-XXXXXXXXXXXX](RansomewareBits@mailfence.com).RAH\r\nЗаписка: ReadthisforDecode.txt\r\nВариант от 5 августа 2022: \r\nСообщение: twitter.com/pcrisk/status/1556887267809153024\r\nРасширение: .Oiltraffic\r\nЗаписка: unlock-info.txt\r\nВариант от 7 августа 2022: \r\nСообщение: twitter.com/pcrisk/status/1556886297381322753\r\nРасширение: .Daz\r\nЗаписка: unlock-info.txt\r\nIOC: VT: MD: 21bfc5127d982f61c676cb3276834298\r\nВариант от 7 августа 2022 или раньше:\r\nРасширение: .Ayakashi\r\nСоставное расширение (пример): .[MJ-AT361XXXXXXX](trustandbussiness@gmail.com).Ayakashi\r\nЗаписка: ReadforDecode.txt\r\nEmail: trustandbussiness@gmail.com, incaseofnoanswer@zohomail.eu\r\n=== 2023 ===\r\nВариант от 16 марта 2023 или раньше: \r\nРасширение: .RYKCRYPT\r\nСоставное расширение (пример): .(CW-ZT6289431075)(encoderdecryption@gmail.com).RYKCRYPT\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 40 of 42\n\nЗаписка: unlock-info.txt\r\nEmail: encoderdecryption@gmail.com, encoderdecryption@yandex.ru\r\nДругие файлы: IDk.txt, pkey.txt, RSAKEY.key\r\nЭта статья очень сильно перегружена элементами и закрыта. \r\nДобавление новых вариантов в эту статью было прекращено. \r\nВариации и ответвления описаны в других статьях Дайджеста.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter: myTweet\r\n ID Ransomware (ID as VoidCrypt)\r\n Write-up, Topic of Support\r\n *\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 41 of 42\n\nThanks:\r\n Andrew Ivanov (author), Michael Gillespie\r\n dnwls0719, Kangxiaopao, Sandor, Emmanuel_ADC-Soft\r\n Intezer Analyze\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html\r\nPage 42 of 42\n\ncmd.exe net.exe net %WINDIR%\\system32\\cmd.exe stop MSSQL$CONTOSO1 /c net stop MSSQL$CONTOSO1\nnet1.exe %WINDIR%\\system32\\net1 stop MSSQL$CONTOSO1 \ncmd.exe %WINDIR%\\system32\\cmd.exe /c net stop MSDTC\n   Page 5 of 42",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html"
	],
	"report_names": [
		"void-voidcrypt-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434059,
	"ts_updated_at": 1775826724,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c496b5db794c1a51244b86a7727ec5696aa3d39c.pdf",
		"text": "https://archive.orkl.eu/c496b5db794c1a51244b86a7727ec5696aa3d39c.txt",
		"img": "https://archive.orkl.eu/c496b5db794c1a51244b86a7727ec5696aa3d39c.jpg"
	}
}