{
	"id": "7e4d861d-99e8-44e1-a276-60f6e08844dd",
	"created_at": "2026-04-06T00:19:07.587214Z",
	"updated_at": "2026-04-10T13:12:33.060028Z",
	"deleted_at": null,
	"sha1_hash": "ccc8e1ab007d9776c40f72d3ae046c5b7d5695b7",
	"title": "CryptoDarkRubix",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 335750,
	"plain_text": "CryptoDarkRubix\r\nArchived: 2026-04-05 23:44:53 UTC\r\nCryptoDarkRubix Ransomware\r\nRanet Ransomware\r\n(шифровальщик-вымогатель, деструктор) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в #\r\nBTC, чтобы вернуть файлы. Оригинальное название: CryptoDarkRubix или Ranet. На файле написано:\r\nranet.exe. Среда разработки: Delphi.\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31036, Trojan.Encoder.31288\r\nBitDefender -\u003e Trojan.GenericKD.33369205, Trojan.GenericKD.42859072\r\nESET-NOD32 -\u003e MSIL/Filecoder.YF\r\nMalwarebytes -\u003e Ransom.CryptoDarkRubix\r\nMcAfee -\u003e GenericRXKC-IY!76D274C82343\r\nMicrosoft -\u003e Ransom:MSIL/DarkRubix.S!MTB\r\nRising -\u003e Ransom.Crypren!8.1D6C (CLOUD), Ransom.DarkRubix!8.118D8 (CLOUD)\r\nSymantec -\u003e Trojan Horse\r\nTencent -\u003e Msil.Trojan.Crypren.Wpte, Win32.Trojan.Agent.Ajvm\r\nTrendMicro -\u003e Ransom_Crypren.R011C0WBQ20, Ransom.MSIL.DARKRUBIX.A\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: ??? \u003e\u003e CryptoDarkRubix (Ranet)\r\nhttps://id-ransomware.blogspot.com/2020/03/cryptodarkrubix-ransomware.html\r\nPage 1 of 6\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .CryptoDarkRubix\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на вторую половину февраля - начало марта 2020 г.\r\nОриентирован на англоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: unlockFiles.txt\r\nСодержание записки о выкупе:\r\nHi your current ID is \"ivloKbkHh4\" \r\nyour security network has extermly problem please sent a BTC for the wallet address :\r\n3FZbgi29cpjq2GjdwV8eyHuJJnkLtktZc5.\r\nIf you had problem sent email to sudeio@geto.tk\r\nyou have just 72 hours for decrypt your files.\r\nПеревод записки на русский язык:\r\nПривет, ваш текущий ID \"ivloKbkHh4\"\r\nБезопасности вашей сети имеет крайне опасные проблемы, отправьте BTC на кошелек:\r\nhttps://id-ransomware.blogspot.com/2020/03/cryptodarkrubix-ransomware.html\r\nPage 2 of 6\n\n3FZbgi29cpjq2GjdwV8eyHuJJnkLtktZc5.\r\nЕсли у вас возникли проблемы, пишите на sudeio@geto.tk\r\nу вас только 72 часа для расшифровки ваших файлов.\r\nКроме записки используется еще изображение darkrubixhacking.jpg, заменяющее обои Рабочего стола, но\r\nмне не удалось получить эту картинку. \r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Файл шифровальщика защищен с помощью EnigmaProtector. \r\n➤ Используется защита анти-VM, чтобы не допустить исследование на виртуальной машине. \r\n \r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .adn, .adp, .backup, .bak, .bmpv, .csv, .cur, .doc, .docs, .docx,\r\n.dsn, .ico, .jfif, .jpeg, .jpg, .laccdb, .ldf, .mad, .maf, .mam, .maq, .mar, .mat, .mda, .mdb, .mde, .mde, .mdf, .mdw,\r\n.mpp, .odc, .pdf, .pjp, .pjpeg, .png, .svg, .tif, .tiff, .udl, .webp, .xla, .xlam, .xls, .xlsm, .xlsx, .xlt, .xltm, .xltx, .zip\r\n(56 расширений). \r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nСодержание зашифрованных файлов минимализировано.\r\nhttps://id-ransomware.blogspot.com/2020/03/cryptodarkrubix-ransomware.html\r\nPage 3 of 6\n\nТаким образом, уплата выкупа бесполезна. \r\nФайлы, связанные с этим Ransomware:\r\nunlockFiles.txt - название файла с требованием выкупа\r\ndarkrubixhacking.jpg\r\nranet.exe - исполняемый файл вымогателя\r\nasih.exe - исполняемый файл вымогателя (копия)\r\nc192d040bcbc2c2e77698410a3f9ad1caf2b9d2a4842b4a16eb09f3446493a9c - случайное название\r\nвредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\User\\AppData\\Local\\Temp\\asih.exe\r\nC:\\Users\\User\\AppData\\Local\\Temp\\c192d040bcbc2c2e77698410a3f9ad1caf2b9d2a4842b4a16eb09f3446493a9c.exe\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: sudeio@geto.tk\r\nBTC: 3FZbgi29cpjq2GjdwV8eyHuJJnkLtktZc5\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\n🔻 Triage analysis \u003e\u003e\r\nⒽ Hybrid analysis \u003e\u003e  HA\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e  AR\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/03/cryptodarkrubix-ransomware.html\r\nPage 4 of 6\n\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nЕщё не было обновлений этого варианта.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as CryptoDarkRubix)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n dnwls0719, Ravi, Karsten Hahn, Michael Gillespie\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\nhttps://id-ransomware.blogspot.com/2020/03/cryptodarkrubix-ransomware.html\r\nPage 5 of 6\n\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/03/cryptodarkrubix-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/03/cryptodarkrubix-ransomware.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/03/cryptodarkrubix-ransomware.html"
	],
	"report_names": [
		"cryptodarkrubix-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434747,
	"ts_updated_at": 1775826753,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/ccc8e1ab007d9776c40f72d3ae046c5b7d5695b7.pdf",
		"text": "https://archive.orkl.eu/ccc8e1ab007d9776c40f72d3ae046c5b7d5695b7.txt",
		"img": "https://archive.orkl.eu/ccc8e1ab007d9776c40f72d3ae046c5b7d5695b7.jpg"
	}
}