{
	"id": "012dbc30-8c70-42a2-b3d7-4668fe3b2780",
	"created_at": "2026-04-06T00:19:08.123461Z",
	"updated_at": "2026-04-10T13:12:00.925811Z",
	"deleted_at": null,
	"sha1_hash": "fe8970c1a7cfc0b7a5b9839990d9234cb1e2d7f6",
	"title": "RedRum, Tycoon",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 693285,
	"plain_text": "RedRum, Tycoon\r\nArchived: 2026-04-05 20:37:03 UTC\r\nRedRum Ransomware\r\nAliases: Grinch, Thanos, Tycoon (1,2,3)\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные корпоративных сетей и бизнес-пользователей с помощью AES-256\r\n(режим GCM) + RSA-1024, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке\r\nне указано. Фактически, это двухплатформенный Java-вымогатель, ориентированный на Windows и Linux. Написан\r\nна языке Python. \r\nОбнаружения:\r\nDrWeb -\u003e Trojan.BtcMine.3403\r\nBitDefender -\u003e Trojan.GenericKD.41942488\r\nESET-NOD32 -\u003e Python/ClipBanker.O\r\nKaspersky -\u003e Trojan-Banker.Win32.ClipBanker.gdm\r\nMicrosoft -\u003e Trojan:Win32/Wacatac.B!ml\r\nSymantec -\u003e Trojan.Gen.MBT, Trojan.Gen.NPE, Heur.AdvML.B\r\n© Генеалогия: Unnamed \u003e RedRum (Tycoon) \u003e Tycoon (1,2,3)\r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .redrum\r\nФактически используется составное расширение по шаблону: \r\n.id-\u003cid\u003e.[moncler@tutamail.com].redrum\r\nПример зашифрованного файла: document.doc.id-D983051A.[moncler@tutamail.com].redrum\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там\r\nмогут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало декабря 2019 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: decryption.txt\r\nhttps://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html\r\nPage 1 of 9\n\nСодержание записки о выкупе:\r\nFILES ARE ENCRYPTED:\r\nHello!\r\nAll your documents, photos, databases and other important files have been ENCRYPTED! Do you really interested to\r\nrestore\r\nyour files?\r\nIf so, you must buy decipher software and private key to unlock your data!\r\nWrite to our email - moncler@tutamail.com and tell us your unique D992041A\r\nWe will send you full instruction how to decrypt all your files.\r\nIn case of no answer in 24 hours write us on additional e-mail address - moncler@cock.li\r\n==========================================================================================================\r\nFAQ FOR DECRYPTION YOUR FILES:\r\n==========================================================================================================\r\n* WHATS HAPPENED ???\r\nYour files are NOT DAMAGED! Your files have been modified and encrypted with strong cipher algorithm. This\r\nmodification\r\nis reversible. The only way to decrypt your files is to purchase the decipher software and private key. Any attempts to\r\nrestore your files with the third-party software will be fatal for your files, because would damage data essential for\r\ndecryption !\r\nNote !!! You have only 24 hours to write us on e-mail or all your files will be lost or the decryption price will be\r\nincreased!\r\n==========================================================================================================\r\n* HOW TO RECOVERY MY FILES ???\r\nYou have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send\r\nyou the decipher software and private key that will decrypt all your files.\r\n==========================================================================================================\r\n* FREE DECRYPTION !!!\r\nFree decryption as guarantee! If you don't believe in our service and you want to see a proof, you can ask us about test\r\nfor decryption. You send us up to 5 modified files. Use file-sharing service and Win-Rar to send files for test. Files\r\nhave to be less than 1 MB (non archived). Files should not be important! Don't send us databases, backups, large excel\r\nfiles, etc.  We will decrypt and send you your decrypted files back as a proof!\r\n==========================================================================================================\r\n* WHY DO I NEED A TEST???\r\nThis is done so that you can make sure that only we can decrypt your files and that there will be no problems with the\r\ndecryption!\r\n==========================================================================================================\r\nhttps://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html\r\nPage 2 of 9\n\n* HOW TO BUY BITCOINS ???\r\nThere are two simple ways to by bitcoins:\r\nhttps://exmo.me/en/support#/1_3\r\nhttps://localbitcoins.net/guides/how-to-buy-bitcoins\r\nRead this information carefully because it's enough to purchase even in large amounts.\r\n==========================================================================================================\r\n!!! ATTENTION !!!\r\n!!! After 60 hours the price for your encryption will increase 10 percent each day\r\n!!! Do not rename encrypted files.\r\n!!! Do not try to decrypt your data using third party software, it may cause permanent data loss.\r\n!!! Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you\r\ncan become a victim of a scam.\r\nПеревод записки на русский язык:\r\nФАЙЛЫ ЗАШИФРОВАНЫ:\r\nПривет!\r\nВсе ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы! Вы правда\r\nзаинтересованы в восстановлении ваших файлов?\r\nЕсли это так, вы должны купить программу для расшифровки и закрытый ключ, чтобы разблокировать ваши\r\nданные!\r\nНапишите на наш email - moncler@tutamail.com и сообщите нам свой уникальный D992041A\r\nМы вышлем вам полную инструкцию, как расшифровать все ваши файлы.\r\nВ случае отсутствия ответа в течение 24 часов напишите нам на дополнительный адрес email - moncler@cock.li\r\n==================================================\r\n================================================== ====================\r\nFAQ по расшифровке ваших файлов:\r\n==================================================\r\n================================================== ====================\r\n* ЧТО ПРОИЗОШЛО ???\r\nВаши файлы не повреждены! Ваши файлы были изменены и зашифрованы с надежным алгоритмом шифрования.\r\nЭта модификация обратима. Единственный способ расшифровать ваши файлы - это приобрести программу для\r\nрасшифровки и закрытый ключ. Любые попытки восстановить ваши файлы с помощью сторонних программ будут\r\nфатальными для ваших файлов, поскольку могут повредить данные, необходимые для расшифровки!\r\nЗаметка !!! У вас есть только 24 часа, чтобы написать нам по email, или все ваши файлы будут потеряны или цена\r\nрасшифровки будет увеличена!\r\n==================================================\r\n================================================== ====================\r\n* Как восстановить мои файлы ???\r\nВы должны платить за расшифровку в биткойнах. Цена зависит от того, как быстро вы напишите нам. После оплаты\r\nмы вышлем вам программу для расшифровки и закрытый ключ, который расшифрует все ваши файлы.\r\n==================================================\r\n================================================== ====================\r\n* БЕСПЛАТНАЯ РАСШИФРОВКА !!!\r\nБесплатная расшифровка как гарантия! Если вы не верите в наш сервис и хотите получить подтверждение, вы\r\nможете запросить у нас тестовую расшифровку. Вы отправляете нам до 5 измененных файлов. Используйте сервис\r\nобмена файлами и Win-Rar для отправки файлов на тестирование. Файлы должны быть менее 1 МБ (не в архиве).\r\nФайлы не должны быть важными! Не присылайте нам базы данных, резервные копии, большие Excel\r\nфайлы и т.д. Мы расшифруем и отправим вам ваши расшифрованные файлы в качестве доказательства!\r\n==================================================\r\n================================================== ====================\r\n* ПОЧЕМУ НУЖЕН ТЕСТ ???\r\nЭто сделано для того, чтобы вы могли убедиться, что только мы можем расшифровать ваши файлы и что с\r\nрасшифровкой проблем не будет!\r\n==================================================\r\n================================================== ====================\r\n* КАК КУПИТЬ БИТКОИНЫ ???\r\nЕсть два простых способа получить биткойны:\r\nhttps://exmo.me/en/support#/1_3\r\nhttps://localbitcoins.net/guides/how-to-buy-bitcoins\r\nВнимательно прочитайте эту информацию, потому что этого достаточно для покупки даже в больших количествах.\r\nhttps://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html\r\nPage 3 of 9\n\n==================================================\r\n================================================== ====================\r\n!!! ВНИМАНИЕ !!!\r\n!!! Через 60 часов стоимость вашего шифрования будет увеличиваться на 10 процентов каждый день.\r\n!!! Не переименовывайте зашифрованные файлы.\r\n!!! Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой\r\nпотере данных.\r\n!!! Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою\r\nплату к нашей), или вы можете стать жертвой мошенничества.\r\nТехнические детали\r\nЭтот троян-шифровальщик развертывается вручную операторами вымогателей из ZIP-архива, содержащего\r\nтроянизированную JRE-сборку (с Java Runtime Environment) после проникновения в сети своих жертв, используя в\r\nкачестве трамплина уязвимые и открытые для RDP-доступа серверы. Предварительно вредоносная программа\r\nкомпилируется в файл образа Java (JIMAGE), расположенный в lib\\modules внутри каталога сборки. Вымогатель\r\nзапускается при выполнении сценария оболочки, который выполняет функцию Main вредоносного модуля Java с\r\nпомощью команды java -m. Вредоносная сборка JRE содержит версии этого сценария для Windows и Linux.\r\n➤ На следующей схеме от BlackBerry Threat Intelligence показано, как злоумышленникам удалось получить\r\nпервоначальный доступ и далее в течение 7 дней инфицировать компьютерные системы по всему объекту атаки. \r\nХронология атаки Tycoon Ransomware (схема от Blackberry)\r\nОписание схемы (мой перевод на русский): \r\n1) Атакующий подключается к системам, используя RDP-сервер в сети.\r\n2) Атакующий находит нужную цель и получает данные локального администратора.\r\n3) Атакующий устанавливает Process hacker как сервис и отключает антивирус.\r\n4) Атакующий оставляет бэкдор и покидает сеть.\r\n5) Атакующий подключается к RDP-серверу и использует его как базу для перемещения по сети.\r\nhttps://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html\r\nPage 4 of 9\n\n6) Атакующий подключается по RDP к каждой системе. Согласно анализу RDP-соединение инициировано вручную\r\nдля каждого сервера.\r\n7) Запускает Process hacker как сервис и отключает АВ.\r\n8) Запускает командный файл для выполнения вымогателя.\r\n9) Выполняет тот же процесс для каждого зараженного сервера в сети.\r\nКроме того, что троян-шифровальщик может распространяться путём взлома через незащищенную конфигурацию\r\nRDP, который мы подробно описали выше, не исключены и другие методы атаки, например, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы\r\nделайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ RedRum (Tycoon) удаляет теневые копии файлов, манипулирует размером теневого хранилища, отключает\r\nфункции восстановления и исправления Windows на этапе загрузки командами, отключает файервол Windows:\r\nvssadmin delete shadows /all /quiet\r\nwmic shadowcopy delete\r\nbcdedit /set {default} bootstatuspolicy ignoreallfailures\r\nbcdedit /set {default} recoveryenabled no\r\nwbadmin delete catalog -quiet\r\nnetsh advfirewall set currentprofile state off\r\nnetsh firewall set opmode mode=disable\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы\r\nобразов, архивы и пр.\r\nПропускаемые расширения: \r\n.mui, .exe, .dll, .lolz\r\nПропускаемые файлы:\r\ndecryption.txt, $Mft, $Mft (NTFS Master File Table), $MftMirr, $LogFile, $LogFile (NTFS Volume Log), $Volume,\r\n$AttrDef, $Bitmap, $BitMap, $BitMap (NTFS Free Space Map), $Boot, $BadClus, $Secure, $Upcase, $Extend, $Quota,\r\n$ObjId, $Reparse, $Extend, bootmgr, BOOTSECT.BAK, pagefile.sys, pagefile.sys (Page File), boot.ini, bootfont.bin, io.sys\r\nПропускаемые папки: \r\nWindows, Boot, System Volume Information, Program Files\\Common Files\\Microsoft Shared, Program Files\\Common\r\nFiles\\System, Program Files\\Common Files\\Services, Program Files\\Common Files\\SpeechEngines, Program Files\r\n(x86)\\Common Files\\microsoft shared, Program Files (x86)\\Common Files\\System, Program Files (x86)\\Common\r\nFiles\\Services, Program Files (x86)\\Common Files\\SpeechEngines, Program Files\\Internet Explorer, Program Files\\Internet\r\nExplorer, Program Files\\Windows Mail, Program Files\\Windows Media Player, Program Files\\Windows Photo Viewer,\r\nProgram Files\\Windows Sidebar, Program Files\\DVD Maker, Program Files\\MSBuild, Program Files\\Reference Assemblies,\r\nProgram Files\\Windows Defender, Program Files\\Windows NT, Program Files (x86)\\Internet Explorer, Program Files\r\n(x86)\\Windows Mail, Program Files (x86)\\Windows Media Player, Program Files (x86)\\Windows Photo Viewer, Program\r\nFiles (x86)\\Windows Sidebar, Program Files (x86)\\MSBuild, Program Files (x86)\\Reference Assemblies, Program Files\r\n(x86)\\Windows Defender,  Program Files (x86)\\Windows NT, ProgramData\\Microsoft, Users\\All Users\r\nhttps://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html\r\nPage 5 of 9\n\nСтроки кода, содержащие описанную выше информацию (Спасибо аналитикам из BlackBerry).  \r\n➤ Добавляет файловый маркер \"redrum3_0\" в конец зашифрованных файлов.  \r\nВ более новых версиях возможны различия. \r\n➤ Подробности по шифрованию файлов\r\nФайлы шифруются с помощью алгоритма AES-256 в режиме Galois / Counter (GCM) с 16-байтовым тегом\r\nаутентификации GCM, который обеспечивает целостность данных. Вектор инициализации длиной 12 байт (IV)\r\nгенерируется для каждого фрагмента шифрования с помощью функции java.security.SecureRandom. Размер\r\nфрагмента шифрования указывается в BuildConfig и устанавливается равным 10 МБ, а параметр шаблона указывает\r\nшаблон, в котором должны обрабатываться фрагменты файла. Пропуская части больших файлов, злоумышленники\r\nускоряют процесс шифрования, повреждая файлы и делая их непригодными для использования.\r\nДля каждого пути шифрования массив ключей AES-256 генерируется с помощью функции\r\njava.security.Secure.Random . Максимальное количество ключей на путь устанавливается в BuildConfig и может\r\nотличаться в разных примерах. Каждый файл (или файловый блок, в случае файлов, размер которых превышает\r\nразмер блока), шифруется другим ключом AES, затем шифруется открытым ключом RSA-1024 атакующего и\r\nсохраняется в блоке метаданных блока (Спасибо BlackBerry).  \r\nФайлы, связанные с этим Ransomware:\r\ndecryption.txt - название файла с требованием выкупа\r\nLocal Security Authority Process1.exe\r\nhttps://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html\r\nPage 6 of 9\n\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: moncler@tutamail.com, moncler@cock.li\r\nEmail: pay4dec@cock.lu, ppp4ddd@protonmail.com\r\ndataissafe@protonmail.com, dataissafe@mail.com\r\nfoxbit@tutanota.com\r\nrelaxmate@protonmail.com\r\ncrocodelux@mail.ru\r\nsavecopy@cock.li\r\nbazooka@cock.li\r\nfuntik@tutamail.com\r\nproff-mariarti@protonmail.com\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis на компонент \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT на компонент\u003e 🐞 Intezer analysis на компонент \u003e\u003e\r\nᕒ  ANY.RUN analysis на компонент \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 12 января 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .grinch\r\nЗаписка: decryption.txt\r\nМаркер файлов: happyny3.1\r\nEmail-1: foxbit@tutanota.com\r\nEmail-2: moncler@tutamail.com\r\nhttps://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html\r\nPage 7 of 9\n\nОбновление от 4 июня 2020:\r\nСтатья от Blackberry \u003e\u003e\r\nСтатья от BleepingComputer \u003e\u003e\r\nРасширение: .thanos\r\nЗаписка: decryption.txt\r\nEmail: dataissafe@protonmail.com, dataissafe@mail.com\r\nОбновление от 12 июня 2020:\r\nПост вымогателя на форуме \u003e\u003e\r\nРасширение: .groove\r\nОбновление от 22 июня 2020:\r\nРасширение: .eruption\r\nИдентификация как Tycoon 3.0 \r\nПример зашифрованного файла: filename.doc.[01F0FD830BD189BE0002AE5C0A251B5432].eruption\r\nЗаписка (пустой файл): contact email to eruption.decryption@mail.ru.txt\r\nEmail: decryption@mail.ru\r\nОбновление от 7 августа:\r\nТопик на форуме \u003e\u003e\r\nРасширение: .magneto\r\nИдентификация как Tycoon 3.0 \r\nПример зашифрованного файла: filename.doc.[FFF0FD830BD189BE0002AE5C0A251B5432].magneto\r\nЗаписка (пустой файл): contact email to eruption.decryption@mail.ru.txt\r\nEmail: decryption@mail.ru\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nВнимание!\r\nДля зашифрованных файлов есть дешифровщик.\r\nСкачайте Emsisoft Decryptor for RedRum по ссылке \u003e\u003e\r\n***\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as RedRum/Tycoon 1.0; Tycoon 2.0 / 3.0)\r\n Write-up, Topic of Support\r\n *\r\nhttps://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html\r\nPage 8 of 9\n\nAdded later:\r\nWrite-up, Write-up, Write-up,\r\n***\r\n Thanks:\r\n Michael Gillespie, BleepingComputer\r\n Andrew Ivanov (author)\r\n BlackBerry Threat Intelligence, KPMG\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2019/12/redrum-ransomware.html"
	],
	"report_names": [
		"redrum-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434748,
	"ts_updated_at": 1775826720,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/fe8970c1a7cfc0b7a5b9839990d9234cb1e2d7f6.pdf",
		"text": "https://archive.orkl.eu/fe8970c1a7cfc0b7a5b9839990d9234cb1e2d7f6.txt",
		"img": "https://archive.orkl.eu/fe8970c1a7cfc0b7a5b9839990d9234cb1e2d7f6.jpg"
	}
}