{ "id": "0e8c1f5a-208a-481f-8c98-4da43a267955", "created_at": "2026-04-06T01:30:10.540977Z", "updated_at": "2026-04-10T03:24:29.412542Z", "deleted_at": null, "sha1_hash": "0679f5d5473328eb9d4535af7b202b7780bacad6", "title": "Prometheus", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1270741, "plain_text": "Prometheus\r\nArchived: 2026-04-06 00:40:25 UTC\r\nDifferent Thanos-based Ransomware\r\nPrometheus Ransomware\r\n\"GotAllDone\" Ransomware\r\nPrometheus NextGen Ransomware\r\nVariants, variation, modification: Getin, CGP, Haron (Chaddad), Boooom,\r\nSpook, ltnuhr, Steriok, Unlock, ZZZZZZZZZZ, Matilan\r\nСборник разных вариантов за 2021 год\r\n(шифровальщики-вымогатели) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей с помощью Salsa20, а затем требует выкуп\r\nв # BTC, чтобы вернуть файлы. Оригинальное название: Prometheus. Название группировки\r\nвымогателей: Prometheus. На файле написано: file.exe или что-то другое. Другие варианты описаны после\r\nосновной статьи. Некоторые из них могут иметь прямое родство с Prometheus, другие тоже основаны на\r\nисходниках Thanos. Мы не ставим перед собой задачи выявить все степени \"родства\" всех представленных\r\nздесь вариантов. \r\nЕсть варианты, которые распространяются из Украины, поэтому киберполиция Украины и CERT-UA не\r\nмогут об этом не знать. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nBitDefender -\u003e Trojan.MSIL.Basic.6.Gen\r\nALYac -\u003e Trojan.Ransom.Thanos\r\nAvira (no cloud) -\u003e TR/RansomX.cucnc\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nKaspersky -\u003e HEUR:Trojan-Ransom.MSIL.Thanos.gen\r\nMalwarebytes -\u003e Ransom.Thanos\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.DC!MTB\r\nRising -\u003e Ransom.Thanos!8.11C97 (CLOUD)\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 1 of 29\n\nSymantec -\u003e Ransom.HiddenTear!g1\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\n---\r\n© Генеалогия: ✂️ REvil, ✂️ Thanos \u003e\u003e Prometheus, Haron\r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение по шаблону: .[XXX-XXX-XXXX]\r\nПример такого расширения: .[141-5D9-Y454]\r\nВ конце кода каждого зашифрованного файла есть слово GotAllDone.\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 2 of 29\n\nС июля 2021 года стал использоваться другой формат расширения — краткое название атакованной\r\nкомпании, учреждения, банка, финансовой группы и прочее.  Например: .getin, .CGP, .chaddad \r\nСообщения о появлении этого крипто-вымогателя начали появляться в конце апреля - начале мая 2021 г.\r\nОриентирован на англоязычных пользователей, может распространяться по всему миру. Среди\r\nпострадавших различные предприятия, работающие в различных сферах по всему миру. Например, это\r\nгазовая компания Ghana National Gas, Центр передового опыта в области сердечно-сосудистой системы\r\nТалсы (Оклахома, США), отель Nyack (Нью-Йорк, США), предприятия во Франции, Норвегии,\r\nШвейцарии, Нидерландах, Бразилии, Малайзии и ОАЭ. \r\nЗаписки с требованием выкупа называются: \r\nRESTORE_FILES_INFO.txt\r\nRESTORE_FILES_INFO.hta\r\nСодержание txt-записки о выкупе:\r\nYOUR COMPANY NETWORK HAS BEEN HACKED\r\nAll your important files have been encrypted!\r\nYour files are safe! Only modified.(AES) \r\nNo software available on internet can help you.\r\nWe are the only ones able to decrypt your files.\r\n--------------------------------------------------------------------------------\r\nWe also gathered highly confidential/personal data. \r\nThese data are currently stored on a private server. \r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 3 of 29\n\nFiles are also encrypted and stored securely.\r\n--------------------------------------------------------------------------------\r\nAs a result of working with us, you will receive: \r\nFully automatic decryptor, all your data will be recovered within a few hours after it's run. \r\nServer with your data will be immediately destroyed after your payment. \r\nSave time and continue working. \r\nYou will can send us 2-3 non-important files and we will decrypt it\r\nfor free to prove we are able to give your files back.\r\n--------------------------------------------------------------------------------\r\n!!!!!!!!!!!!!!!!!!!!!!!!\r\nIf you decide not to work with us: \r\nAll data on your computers will remain encrypted forever. \r\nYOUR DATA ON OUR SERVER AND WE WILL RELEASE YOUR DATA TO PUBLIC OR RE-SELLER!\r\nSo you can expect your data to be publicly available in the near future.. \r\nThe price will increase over time. \r\n!!!!!!!!!!!!!!!!!!!!!!!!!\r\n--------------------------------------------------------------------------------\r\nIt doesn't matter to us what you choose pay us or we will sell your data.\r\nWe only seek money and our goal is not to damage your reputation or prevent your business from running.\r\nWrite to us now and we will provide the best prices.\r\nInstructions for contacting us:\r\n_________________________________________________________________\r\nYou have two ways:\r\n1) [Recommended] Using a TOR browser!\r\na. Download and install TOR browser from this site: https://torproject.org/\r\nb. Open the Tor browser. Copy the link: hxxx://promethw27cbrcot.onion/ticket.php?track=141-5D9-Y*** and\r\npaste it in the Tor browser.\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 4 of 29\n\nc. Start a chat and follow the further instructions.\r\n2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:\r\na. Open your any browser (Chrome, Firefox, Opera, IE, Edge)\r\nb. Open our secondary website: hxxx://prometheusdec.in/ticket.php?track=141-5D9-Y***\r\nc. Start a chat and follow the further instructions.\r\nWarning: secondary website can be blocked, thats why first variant much better and more available.\r\n_________________________________________________________________\r\nAttention!\r\nAny attempt to restore your files with third-party software will corrupt it.\r\nModify or rename files will result in a loose of data.\r\nIf you decide to try anyway, make copies before that\r\nKey Identifier: \r\nWMl+7qUDjFv06R+4Mn7wwRJLGABA4jRM*** [всего 684 знака]\r\nПеревод txt-записки на русский язык:\r\nСЕТЬ ВАШЕЙ КОМПАНИИ ВЗЛОМАНА\r\nВсе ваши важные файлы зашифрованы!\r\nВаши файлы в безопасности! Только модифицированы. (AES)\r\nНикакая программа, доступная в Интернете, не может вам помочь.\r\nМы единственные, кто может расшифровать ваши файлы.\r\n-------------------------------------------------- ------------------------------\r\nМы также собрали конфиденциальные / личные данные.\r\nЭти данные сейчас хранятся на частном сервере.\r\nФайлы зашифрованы и надежно сохранены.\r\n-------------------------------------------------- ------------------------------\r\nВ результате работы с нами вы получите:\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 5 of 29\n\nПолностью автоматический дешифратор, все ваши данные восстановятся за нескольких часов после его\r\nустановки.\r\nСервер с вашими данными будет немедленно уничтожен после вашей оплаты.\r\nЭкономьте время и продолжайте работать.\r\nВы можете прислать нам 2-3 неважных файла, и мы расшифруем их.\r\nбесплатно, чтобы доказать, что мы можем вернуть ваши файлы.\r\n-------------------------------------------------- ------------------------------\r\n!!!!!!!!!!!!!!!!!!!!!!!!\r\nЕсли вы решите не работать с нами:\r\nВсе данные на ваших компьютерах навсегда останутся зашифрованными.\r\nВАШИ ДАННЫЕ НА НАШЕМ СЕРВЕРЕ И МЫ ПЕРЕДАДИМ ВАШИ ДАННЫЕ ОБЩЕСТВУ ИЛИ\r\nПЕРЕКУПЩИКУ!\r\nТаким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.\r\nЦена со временем будет расти.\r\n!!!!!!!!!!!!!!!!!!!!!!!!!\r\n-------------------------------------------------- ------------------------------\r\nДля нас не имеет значения, что вы выберете для оплаты, иначе мы продадим ваши данные.\r\nМы хотим только денег и наша цель - не навредить вашей репутации или не помешать работе вашего\r\nбизнеса.\r\nНапишите нам сейчас и мы предоставим лучшие цены.\r\nКак с нами связаться:\r\n_________________________________________________________________\r\nУ вас есть два пути:\r\n1) [Рекомендуется] Использование браузера TOR!\r\nа. Загрузите и установите браузер TOR с этого сайта: https://torproject.org/\r\nб. Откройте браузер Tor. Скопируйте ссылку: hxxx://promethw27cbrcot.onion/ticket.php?track=141-5D9-Y***\r\nи вставьте ее в браузер Tor.\r\nc. Начните чат и следуйте дальнейшим инструкциям.\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 6 of 29\n\n2) Если TOR заблокирован в вашей стране, попробуйте использовать VPN! Но вы можете использовать\r\nнаш вторичный веб-сайт. Для этого:\r\nа. Откройте любой браузер (Chrome, Firefox, Opera, IE, Edge)\r\nб. Откройте наш дополнительный веб-сайт: hxxx://prometheusdec.in/ticket.php?track=141-5D9-Y***\r\nc. Начните чат и следуйте дальнейшим инструкциям.\r\nПредупреждение: вторичный сайт может быть заблокирован, поэтому первый вариант намного лучше и\r\nдоступнее.\r\n_________________________________________________________________\r\nВнимание!\r\nЛюбая попытка восстановить ваши файлы с помощью сторонних программ приведет к их повреждению.\r\nИзменение или переименование файлов приведет к потере данных.\r\nЕсли вы все же решите попробовать, сделайте копии перед этим\r\nКлюч идентификатор: WMl+7qUDjFv06R + 4Mn7wwRJLGABA4jRM***\r\nСодержание hta-записки о выкупе:\r\nYOUR COMPANY NETWORK HAS BEEN HACKED\r\nAll your important files have been encrypted!\r\nYour files are safe! Only modified.(AES) \r\nNo software available on internet can help you.\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 7 of 29\n\nWe are the only ones able to decrypt your files.\r\n--------------------------------------------------------------------------------\r\nWe also gathered highly confidential/personal data. \r\nThese data are currently stored on a private server. \r\nFiles are also encrypted and stored securely.\r\n--------------------------------------------------------------------------------\r\nAs a result of working with us, you will receive: \r\nFully automatic decryptor, all your data will be recovered within a few hours after it’s installation. \r\nServer with your data will be immediately destroyed after your payment. \r\nSave time and continue working. \r\nYou will can send us 2-3 non-important files and we will decrypt it\r\nfor free to prove we are able to give your files back.\r\n--------------------------------------------------------------------------------\r\nIf you decide not to work with us: \r\nAll data on your computers will remain encrypted forever. \r\nYOUR DATA ON OUR SERVER AND WE WILL RELEASE YOUR DATA TO PUBLIC OR RE-SELLER! \r\nSo you can expect your data to be publicly available in the near future.. \r\nThe price will increase over time. \r\n--------------------------------------------------------------------------------\r\nIt doesn't matter to us what you choose pay us or we will sell your data. \r\nWe only seek money and our goal is not to damage your reputation or prevent your business from running. \r\nWrite to us now and we will provide the best prices.\r\nInstructions for contacting us:\r\nYou have two ways:\r\n1) [Recommended] Using a TOR browser!\r\na. Download and install TOR browser from this site: https://torproject.org/\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 8 of 29\n\nb. Open the Tor browser. Copy the link: hxxx://promethw27cbrcot.onion/ticket.php?track=141-5D9-Y*** and\r\npaste it in the Tor browser.\r\nc. Start a chat and follow the further instructions.\r\n2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:\r\na. Open your any browser (Chrome, Firefox, Opera, IE, Edge)\r\nb. Open our secondary website: hxxx://prometheusdec.in/ticket.php?track=141-5D9-Y***\r\nc. Start a chat and follow the further instructions.\r\nWarning: secondary website can be blocked, thats why first variant much better and more available.\r\nAttention!\r\nAny attempt to restore your files with third-party software will corrupt it. \r\nModify or rename files will result in a loose of data. \r\nIf you decide to try anyway, make copies before that\r\nKey Identifier: WMl+7qUDjFv06R+4Mn7wwRJLGABA4jRM*** [всего 684 знака]\r\nПеревод hta-записки на русский язык:\r\nСЕТЬ ВАШЕЙ КОМПАНИИ ВЗЛОМАНА\r\nВсе ваши важные файлы зашифрованы!\r\nВаши файлы в безопасности! Только модифицированы. (AES)\r\nНикакая программа, доступная в Интернете, не сможет вам помочь.\r\nМы единственные, кто может расшифровать ваши файлы.\r\n-------------------------------------------------- ------------------------------\r\nМы также собрали конфиденциальные / личные данные.\r\nЭти данные сейчас хранятся на частном сервере.\r\nФайлы зашифрованы и надежно сохранены.\r\n-------------------------------------------------- ------------------------------\r\nВ результате работы с нами вы получите:\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 9 of 29\n\nПолностью автоматический дешифратор, все ваши данные восстановятся за нескольких часов после его\r\nустановки.\r\nСервер с вашими данными будет немедленно уничтожен после вашей оплаты.\r\nЭкономьте время и продолжайте работать.\r\nВы можете прислать нам 2-3 неважных файла и мы их расшифруем.\r\nбесплатно, чтобы доказать, что мы можем вернуть ваши файлы.\r\n-------------------------------------------------- ------------------------------\r\nЕсли вы решите не работать с нами:\r\nВсе данные на ваших компьютерах навсегда останутся зашифрованными.\r\nВАШИ ДАННЫЕ НА НАШЕМ СЕРВЕРЕ И МЫ ПЕРЕДАДИМ ВАШИ ДАННЫЕ ОБЩЕСТВУ\r\nИЛИ ПЕРЕКУПЩИКУ!\r\nТаким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.\r\nЦена со временем будет расти.\r\n-------------------------------------------------- ------------------------------\r\nДля нас не имеет значения, что вы выберете для оплаты, иначе мы продадим ваши данные.\r\nМы хотим только денег и наша цель - не навредить вашей репутации или не помешать работе вашего\r\nбизнеса.\r\nНапишите нам сейчас и мы предоставим лучшие цены.\r\nКак с нами связаться:\r\nУ вас есть два пути:\r\n1) [Рекомендуется] Использование браузера TOR!\r\nа. Загрузите и установите браузер TOR с этого сайта: https://torproject.org/\r\nб. Откройте браузер Tor. Скопируйте ссылку: hxxx://promethw27cbrcot.onion/ticket.php?track=141-5D9-Y***\r\nи вставьте ее в браузер Tor.\r\nc. Начните чат и следуйте дальнейшим инструкциям.\r\n2) Если TOR заблокирован в вашей стране, попробуйте использовать VPN! Но вы можете использовать\r\nнаш вторичный веб-сайт. Для этого:\r\nа. Откройте любой браузер (Chrome, Firefox, Opera, IE, Edge)\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 10 of 29\n\nб. Откройте наш дополнительный веб-сайт: hxxx://prometheusdec.in/ticket.php?track=141-5D9-Y***\r\nc. Начните чат и следуйте дальнейшим инструкциям.\r\nПредупреждение: вторичный сайт может быть заблокирован, поэтому первый вариант намного лучше и\r\nдоступнее.\r\nВнимание!\r\nЛюбая попытка восстановить ваши файлы с помощью сторонних программ приведет к их повреждению.\r\nИзменение или переименование файлов приведет к потере данных.\r\nЕсли вы все же решите попробовать, сделайте копии перед этим\r\nКлюч идентификатор: WMl+7qUDjFv06R + 4Mn7wwRJLGABA4jRM***\r\nКроме того, используется всплывающее сообщение в системном трее, в котором отображается часть текста\r\nиз записки.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ UAC не обходит, требуется разрешение на запуск файла. \r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 11 of 29\n\n➤ Отключает и удаляет из реестра настройки утилиты Raccine, которая не даёт шифровальщикам удалять\r\nтеневые копии файлов. Использует список команд для принудительного завершения множества процессов,\r\nмещающих шифрованию файлов. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\n.1cd, .7z, .accdb, .aes, .aiff, .asm, .avi, .backup, .bak, .bz2, .cat, .cert, .class, .cpp, .cpp, .cs, .csr, .csv, .dat, .db, .dbf,\r\n.dbx, .dim, .djvu, .doc, .docm, .docx, .dtsx, .dwg, .edb, .eml, .epf, .flac, .fp7, .gif, .gpg, .htm, .html, .hwp, .java,\r\n.java, .jpeg, .jpg, .key, .lay6, .ldf, .lgb, .log, .m4a, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mrimg, .msg, .myd,\r\n.nd, .ndf, .nef, .nsf, .odb, .odg, .ods, .odt, .ora, .ost, .p12, .pas, .pdf, .pem, .pfx, .php, .php, .png, .ppt, .pptx, .psd,\r\n.pst, .qbb, .qbw, .rar, .raw, .rdl, .rtf, .sdf, .sql, .sql, .sqlite3, .sqlitedb, .svg, .sxi, .sxw, .tar, .tiff, .tlg, .txt, .vdi, .vmdk,\r\n.vmx, .vsd, .wav, .xdw, .xls, .xlsm, .xlsx, .zip (109 расширений). \r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр. В разных вариантах могут быть и другие. \r\nФайлы, связанные с этим Ransomware:\r\nRESTORE_FILES_INFO.txt - название файла с требованием выкупа; \r\nRESTORE_FILES_INFO.hta - название файла с требованием выкупа; \r\nfile.exe - случайное название вредоносного файла. \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 12 of 29\n\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL: hxxx://promethw27cbrcot.onion/ticket.php?track=141-5D9-Y***\r\nURL: hxxx://prometheusdec.in/ticket.php?track=141-5D9-Y***\r\nEmail: - \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nIOC: VT, HA, IA, TG, AR, VMR, JSB\r\nMD5: e1f063d63a75e0e0e864052b1a50ab06\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nБолее ранняя история описана в статье Hakbit (Thanos) Ransomware\r\nPrometheus Ransomware, собственно сам - примерно с мая 2021 и в течение года; описан в\r\nстатье Prometheus.\r\nPrometheus NextGen Ransomware - примерно с июня 2021; некоторые варианты не шифровали файлы,\r\nдругие можно было расшифровать.\r\nNextGen с другими названиями - примерно с июля 2021, и далее в 2022 году. \r\nДругие NextGen-варианты - примерно с сентября 2021. \r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 14 июня 2021: \r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 13 of 29\n\nВероятно новый вариант Prometheus Ransomware. \r\nРасширение (концевое): .getin\r\nПолное расширение (пример): .[ID-7C4B3384].getin\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: Tiberiano@aol.com\r\nВариант от 16 июля 2021:\r\nРасширение: .CGP\r\nЗаписки: RESTORE_FILES_INFO.hta, RESTORE_FILES_INFO.txt\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 14 of 29\n\nEmail: yourdata@RecoveryGroup.at\r\nURL: hxxxs://supportdatarecovery.cc/\r\nURL для определения IP: hxxx://icanhazip.com/\r\nАвтозагрузка: C:\\Users\\Admin\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\reload1.lnk\r\nКлюч реестра с именем файла: \r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\AppID\\cgpshare.exe\r\nФайл: cgpshare.exe\r\nРезультаты анализов: \r\nIOC: VT, IA, HA\r\nMD5: e8f8e4eb0d2c03f0b12fb1cf09932bbd \r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nALYac -\u003e Trojan.Ransom.Thanos\r\nBitDefender -\u003e Trojan.MSIL.Basic.6.Gen\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nKaspersky -\u003e HEUR:Trojan-Ransom.MSIL.Thanos.gen\r\nMalwarebytes -\u003e Malware.AI.4023495991\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.DC!MTB\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 15 of 29\n\nSymantec -\u003e Trojan.Gen.MBT\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nВариант от 17 июля 2021:  \r\nСамоназвание на Tor-сайте: Haron Ransomware\r\nЛогин-пароль: Chaddadgroup \r\nРасширение: .chaddad\r\nЗаписки: RESTORE_FILES_INFO.txt, RESTORE_FILES_INFO.hta\r\nTor-URL: hxxx://ft4zr2jzlqoyob7yg4fcpwyt37hox3ajajqnfkdvbfrkjioyunmqnpad.onion\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 16 of 29\n\nПри проверке файлы оказались не зашифрованными. Возможно, из-за вызванного BSoD и незавершенного\r\nшифрования. \r\nДостаточно убрать у файлов добавленное расширение. Вот два таких восстановленных файла (превью и\r\nцеликом). \r\n \r\nФайл: chaddad.exe\r\nРезультаты анализов: \r\nIOC: VT, IA, AR\r\nMD5: 731797d30d8ff6eaf901e788bd4e6048\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nBitDefender -\u003e Trojan.MSIL.Basic.6.Gen\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nKaspersky -\u003e HEUR:Trojan-Ransom.MSIL.Thanos.gen\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 17 of 29\n\nMalwarebytes -\u003e Malware.AI.4015843408\r\nMcAfee -\u003e Ransom-Thanos!731797D30D8F\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.DC!MTB\r\nSymantec -\u003e Ransom.Thanos\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nВариант от 28 июля 2021:\r\nЗаписки: How_To_Recover_My_Files.hta, How_To_Recover_My_Files.txt\r\nЗаписка подписана от имени REvil Group. \r\nEmail: Jeremy.albright@criptext.com\r\nФайл: Garb1.exe\r\nРезультаты анализов: \r\nIOC: VT, IA\r\nMD5: da79764c812c81317354434785b1f2d6\r\nСообщение от 1 августа 2021:\r\nCyCraft выпустила утилиту для расшифровки некоторых файлов после Prometheus. \r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 18 of 29\n\nВариант от 1 сентября 2021:\r\nРасширение: .[ID-********].[monster666@tuta.io].boooom\r\nЗаписка: decrypt_info.txt\r\nEmail: monster666@tuta.io\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.29\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nВариант от 29 сентября 2021:\r\nРасширение: .PUUEQS8AEJ\r\nПеред текстом картинка со словом Spook.\r\nСамоназвание, предположительно: Spook Ransomware.\r\nЗаписки: RESTORE_FILES_INFO.hta, RESTORE_FILES_INFO.txt\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 19 of 29\n\nАвтозагрузка: C:\\Users\\Admin\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\reload1.lnk\r\nРезультаты анализов: \r\nIOC: VT, IA\r\nMD5: 537a415bcc0f3396f5f37cb3c1831f87\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.29\r\nBitDefender -\u003e Trojan.MSIL.Basic.6.Gen\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nKaspersky -\u003e UDS:Trojan-Ransom.MSIL.Thanos.gen\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.DC!MTB\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 20 of 29\n\n---\r\nДополнительные образцы:\r\nVT: MD5: 537a415bcc0f3396f5f37cb3c1831f87\r\nVT: MD5: 1c7b91546706f854891076c3c3c964c0\r\nVT: MD5: 20ab243fee91b6c8df23e1ddefff2727\r\nВариант от 14 октября 2021: \r\nРасширение: .ltnuhr\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: recoveryfiles@techmail.info\r\nФайл: Worker-0.exe\r\nРезультаты анализов: \r\nIOC: VT, IA, TG\r\nMD5: 498cb084983cd8626ff077110d2549ca\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.29\r\nBitDefender -\u003e Trojan.Generic.30333220\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMalwarebytes -\u003e Malware.AI.3844476070\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 21 of 29\n\nMicrosoft -\u003e Ransom:MSIL/Thanos.PA!MTB\r\nRising -\u003e Trojan.AntiVM!1.CF63 (CLASSIC)\r\nTencent -\u003e Win32.Trojan.Generic.Pegi\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nВариант от 19 октября 2021: \r\nРасширение: .steriok \r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: steriok@mail2tor.com,  proper12132@tutanota.com \r\nРезультаты анализов: VT + IA - идентифицирован как Prometheus\r\n➤ Содержание записки: \r\nall your important files are encrypted!\r\nAny attempts to restore your files with the thrid-party software will be fatal for your files!\r\nRESTORE YOU DATA POSIBLE ONLY BUYING private key from us.\r\nThere is only one way to get your files back:   \r\nWARNING: 1) install the tor browser (hxxxs://www.torproject.org/download)\r\nСreate new email on servis hxxx://mail2tor2zyjdctd.onion for contact !\r\nwrite me on   steriok@mail2tor.com or  proper12132@tutanota.com \r\nSend me your ID in the email \r\nKey Identifier: ***\r\n---\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.31368\r\nBitDefender -\u003e Trojan.MSIL.Basic.3.Gen\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMalwarebytes -\u003e Ransom.FileLocker\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.DC!MTB\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 22 of 29\n\nSymantec -\u003e Ransom.Thanos\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nВариант без указания даты появления: \r\nРасширение: .[ID-\u003cPC-ID\u003e].unlock\r\nЗаписка: UNLOCK_FILES_INFO.txt\r\nEmail: helpunlock@aol.com\r\nЭтот вариант может быть расшифрован. \r\nВариант от 6-7- апреля 2022:\r\nРаспространяется из Украины или кем-то сопричастным. \r\nРасширение: .ZZZZZZZZZZ\r\nВ конце кода каждого зашифрованного файла тоже есть слово GotAllDone.\r\nЗаписка: Здравствуй Русский Мир.txt\r\nEmail: putinubiyca@privyonline.com\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 23 of 29\n\n➤ Содержание записки: \r\nДобрый день, дамы и господа.\r\nс 24 февраля 2022 года, правила игры в Internet меняются. \r\nЕсли раньше Вы платили за расшифровку компьютера к примеру $1.000 и вам давалось на это 3 дня, то\r\nсейчас будет даваться те-же 3 дня, но платить вы \r\nбудете $5.000 (цены для всех индивидуальны)\r\nЕсли раньше мы не проводили поиск компромата и внутренних баз, то сейчас этому уделяется отдельное\r\nвнимание. \r\nЕсли хоть на ё компьютере есть приватные данные, фото, видео, домашнее видео чье-то, с женой,\r\nлюбовницей, козой, то они попадают в паблик, при \r\nнеоплате. \r\nЛюбые базы, которые мы видим имеют коммерческий или приватный интерес будут выставлены на\r\nаукцион среди ваших конкурентов, врагов и просто \r\nбездельников, которые найдут им точное применение.\r\nВаши переписки, почтой, телефоном, месенжерами точно также попадут \"куда надо\", в случае неоплаты\r\nуказанной суммы. (уточняйте по email)\r\nПричина ужесточения - потому что вы ничего не сделали, чтобы остановить войну.\r\nСвязаться с нами вы можете написав нам на email.\r\nemail - putinubiyca@privyonline.com\r\nP.S\r\nВы можете привлечь 100 человек и провести акцию для остановки войны, тогда вам прощается оплата. и\r\nрасшифровываются данные бесплатно. \r\nНо для этого нужно прислать видеоподтверждение.\r\nP.S.S\r\nhxxxs://www.youtube.com/watch?v=z30_xW*****\r\nВариант от 7 апреля 2022: \r\nРасширение: .MATILAN\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 24 of 29\n\nРезультаты анализов: VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.29\r\nBitDefender -\u003e Trojan.MSIL.Basic.6.Gen\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nMicrosoft -\u003e Ransom:MSIL/Thanos.MK!MTB\r\nRising -\u003e Ransom.Thanos!1.D81A (CLASSIC)\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nВариант от 16 апреля 2022: \r\nРасширение: .ZORN\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nРезультаты анализов: VT \r\nВариант от 22 апреля 2022:\r\nРасширение: .PARKER\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nРезультаты анализов: VT \r\nВариант от 26 апреля 2022: \r\nРасширение: .axxes\r\nЗаписки: RESTORE_FILES_INFO.hta, RESTORE_FILES_INFO.txt\r\nРезультаты анализов: VT\r\nВариант от 28 апреля 2022:\r\nРасширение: .private\r\nВ конце кода каждого зашифрованного файла тоже есть слово GotAllDone.\r\nЗаписка: Инструкция.txt\r\nEmail: secure811@msgsafe.io\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 25 of 29\n\nВариант от 20 мая 2022: \r\nРасширение: .trins \r\nЗаписка: RECOVERY.txt\r\nФайл: Trins.exe\r\nРезультаты анализа: VT + TG + IA\r\nВариант от 21 июня 2022: \r\nРасширение: .cmblabs\r\nЗаписка: DECRYPT_INFO.hta\r\nФайл: db.exe\r\nРезультаты анализа: VT + IA\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.EncoderNET.29\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 26 of 29\n\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.Thanos.A\r\nTrendMicro -\u003e Ransom.MSIL.THANOS.SM\r\nВариант от 21 июня 2022:\r\nРасширение: .harditem \r\nЗаписка: RESTORE_FILES_INFO.txt\r\nРезультаты анализа: VT + IA\r\nВариант от 21 июня 2022: \r\nРасширение: .pex8tm\r\nЗаписка: RESTORE_FILES_INFO.txt\r\nEmail: assistant@techmail.info\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 27 of 29\n\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + Message + myMessage\r\n ID Ransomware (ID as Prometheus)\r\n Write-up, Topic of Support\r\n Added later: Write-up, Write-up\r\nВнимание!\r\nВ некоторых случаях файлы можно дешифровать!\r\nОбращайтесь по этой ссылке к Michael Gillespie \u003e\u003e\r\n---\r\nКомпания Avast тоже сделала дешифровщик.\r\nСкачайте дешифровщик по ссылке в статье \u003e\u003e\r\n Thanks:\r\n MalwareHunterTeam, dnwls0719, Michael Gillespie\r\n Andrew Ivanov (article author)\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 28 of 29\n\nSandor\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html\r\nPage 29 of 29", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "references": [ "https://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html" ], "report_names": [ "prometheus-ransomware.html" ], "threat_actors": [ { "id": "aa73cd6a-868c-4ae4-a5b2-7cb2c5ad1e9d", "created_at": "2022-10-25T16:07:24.139848Z", "updated_at": "2026-04-10T02:00:04.878798Z", "deleted_at": null, "main_name": "Safe", "aliases": [], "source_name": "ETDA:Safe", "tools": [ "DebugView", "LZ77", "OpenDoc", "SafeDisk", "TypeConfig", "UPXShell", "UsbDoc", "UsbExe" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775439010, "ts_updated_at": 1775791469, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/0679f5d5473328eb9d4535af7b202b7780bacad6.pdf", "text": "https://archive.orkl.eu/0679f5d5473328eb9d4535af7b202b7780bacad6.txt", "img": "https://archive.orkl.eu/0679f5d5473328eb9d4535af7b202b7780bacad6.jpg" } }