{
	"id": "13e5f8c1-55a8-4606-8541-7f70820dd53a",
	"created_at": "2026-04-06T01:29:57.478381Z",
	"updated_at": "2026-04-10T13:12:46.256129Z",
	"deleted_at": null,
	"sha1_hash": "e5571904a60b1aea93f91aeb34253c593521f92d",
	"title": "RekenSom, GHack",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 374723,
	"plain_text": "RekenSom, GHack\r\nArchived: 2026-04-06 00:45:50 UTC\r\nRekenSom Ransomware\r\nAliases: Som, GHack\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем сообщает, как\r\nзаплатить выкуп и вернуть файлы. Оригинальное название: RekenSom. На файлах написано: Reken.exe,\r\nFinalReken.exe, GHack.exe\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.PWS.Siggen2.44953\r\nBitDefender -\u003e Generic.Ransom.Krider.8B205F69\r\nAvira (no cloud) -\u003e TR/AD.RemoteExecHeur.vmdsg\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.BQ\r\nMalwarebytes -\u003e Ransom.RekenSom\r\nRising -\u003e Ransom.Encoder!8.FFD4 (CLOUD)\r\nSymantec -\u003e Trojan Horse\r\nTrendMicro -\u003e Ransom.Win32.KRIDER.A\r\n---\r\n© Генеалогия: my-Little-Ransomware \u003e\u003e cuteRansomware \u003e\u003e KRider \u003e RekenSom\r\nИзображение — логотип статьи\r\nhttps://id-ransomware.blogspot.com/2020/03/rekensom-ransomware.html\r\nPage 1 of 7\n\nК зашифрованным файлам добавляется расширение: .RekenSom\r\nНазвание зашифрованного файла меняется на неузнаваемое. \r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя неизвестна. Вероятно, пока находится в разработке. Образец был\r\nнайден в середине марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает\r\nраспространять его по всему миру. \r\nВ раннем варианте записка с требованием выкупа не обнаружена. Потом появился экран блокировки с\r\nтекстом (см. обновление от 1 марта 2020). \r\nВ раннем варианте был только непонятный экран с цифрами и русскими словами. Понятно, что нужно\r\nввести какой-то цифровой код, но было непонятно как его получить и как связываться с теми, кто\r\nуправляет этим шифровальщиком. \r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nhttps://id-ransomware.blogspot.com/2020/03/rekensom-ransomware.html\r\nPage 2 of 7\n\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ RekenSom использует PowerShell для осуществления атаки. \r\n➤ Имеется функционал для сбора информацию с инфицированного ПК. \r\n➤ Шифрует все файлы на Рабочем столе, пытается загрузить ключ шифрования и имя компьютера на\r\nудаленный сервер, но имя хоста не указано. Нет записки от вымогателей или контактной информации.\r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer,\r\n.class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg,\r\n.dxf, .dxg, .efx, .eps, .erf, .exe, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u,\r\n.m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb,\r\n.odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm,\r\n.potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw,\r\n.rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wb2, .wma, .wmv,\r\n.wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip \r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и прочее.\r\nФайлы, связанные с этим Ransomware:\r\nWindowsFormsApplication8.exe\r\nReken.exe\r\nFinalReken.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nhttps://id-ransomware.blogspot.com/2020/03/rekensom-ransomware.html\r\nPage 3 of 7\n\nsecretAES.txt\r\nsecret.txt\r\nsendBack.txt\r\ndata recive\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\User\\Desktop\\secret.txt\r\nC:\\Users\\User\\Desktop\\secretAES.txt\r\nc:\\users\\karol\\desktop\\winlockereeeeeeeeeeeee\\windowsformsapplication8\\obj\\release\\windowsformsapplication8.pdb\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nhttps://id-ransomware.blogspot.com/2020/03/rekensom-ransomware.html\r\nPage 4 of 7\n\nМьютексы:\r\ncuteRansomware\r\nСетевые подключения и связи:\r\nEmail: - \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nhttps://id-ransomware.blogspot.com/2020/03/rekensom-ransomware.html\r\nPage 5 of 7\n\nОбновление от 16 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .som\r\nШифрует файлы на Рабочем столе. Имена файлов переименовываются по шаблону \u003cEncrypted + several \"-\r\n\"\u003e: \r\nПримеры зашифрованных файлов: \r\nEncrypted------------.som\r\nEncrypted-----------.som\r\nEncrypted----------.som\r\nEncrypted---------.som\r\nEncrypted--------.som\r\nEncrypted-------.som\r\nTelegram: ©Rekensom\r\nBTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX\r\nФайл: GHack.exe\r\nРезультаты анализов: VT + AR\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as ***)\r\n Write-up, Topic of Support\r\n *\r\nhttps://id-ransomware.blogspot.com/2020/03/rekensom-ransomware.html\r\nPage 6 of 7\n\nThanks:\r\n dnwls0719, Kirill Starodubtsev\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/03/rekensom-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/03/rekensom-ransomware.html\r\nPage 7 of 7\n\nудаленный Список сервер, файловых но имя хоста расширений, не указано. Нет записки подвергающихся от вымогателей шифрованию: или контактной информации. \n.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer,\n.class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg,\n.dxf, .dxg, .efx, .eps, .erf, .exe, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u,\n.m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb,\n.odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm,\n.potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw,\n.rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wb2, .wma, .wmv,\n.wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\nфайлы образов, архивы и прочее.     \nФайлы, связанные с этим Ransomware:     \nWindowsFormsApplication8.exe       \nReken.exe       \nFinalReken.exe       \n\u003crandom\u003e.exe -случайное название вредоносного файла   \n    Page 3 of 7",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/03/rekensom-ransomware.html"
	],
	"report_names": [
		"rekensom-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775438997,
	"ts_updated_at": 1775826766,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e5571904a60b1aea93f91aeb34253c593521f92d.pdf",
		"text": "https://archive.orkl.eu/e5571904a60b1aea93f91aeb34253c593521f92d.txt",
		"img": "https://archive.orkl.eu/e5571904a60b1aea93f91aeb34253c593521f92d.jpg"
	}
}