{ "id": "d8ba6af3-f83a-4c07-aa14-84cbfb25d7f5", "created_at": "2026-04-06T00:10:57.726261Z", "updated_at": "2026-04-10T03:25:41.16391Z", "deleted_at": null, "sha1_hash": "18db56f21cdd9eb1f4528365b53720b82bb9c4fe", "title": "Meow", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 326693, "plain_text": "Meow\r\nArchived: 2026-04-05 20:19:44 UTC\r\nMeow Ransomware\r\nMeowCorp2022 Ransomware\r\nAnti-Russian Extortion Group\r\nDifferent ContiStolen-based Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель основан на коде, украденном у Conti-2 Ransomware, является его\r\nмодифицированным вариантом. Он шифрует данные на взломанных серверах с помощью алгоритма\r\nChaCha20, а затем требует связаться с вымогателями по email или в Telegram, чтобы узнать как заплатить\r\nвыкуп и вернуть файлы. Оригинальное название: в заголовке записки есть фраза \" MEOW! MEOW!\r\nMEOW!\", а в логинах повторяется \"meowcorp2022\". \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.35892\r\nBitDefender -\u003e Gen:Variant.Lazy.228618\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Conti.R\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Win32.Conti.gen\r\nMalwarebytes -\u003e Ransom.Conti.Generic\r\nMicrosoft -\u003e Ransom:Win32/Conti.IPA!MTB\r\nRising -\u003e Ransom.Conti!1.DE02 (CLASSIC)\r\nTencent -\u003e Win32.Trojan.Filecoder.Etgl\r\nTrendMicro -\u003e Ransom.Win32.CONTI.SMTH.hp\r\n---\r\n© Генеалогия: CONTI-2 (stolen code) \u003e\u003e NB65 \u003e Unnamed ContiStolen-based, Amelia, Meow,\r\nMeow+NB65 (PUTIN, KREMLIN, RUSSIA) и другие варианты. \r\nСайт \"ID Ransomware\" это идентифицирует как MeowCorp (с 23.02.2023). \r\nhttps://id-ransomware.blogspot.com/2022/09/meow-ransomware.html\r\nPage 1 of 9\n\nИнформация для идентификации\r\nАктивность этого крипто-вымогателя была замечена в конце августа - в первой половине сентября 2022 г и\r\nпродолжилась до февраля 2023 года.  Ориентирован на англоязычных пользователей, может\r\nраспространяться по всему миру. \r\nК зашифрованным файлам добавляется расширение: .MEOW\r\nЗаписка с требованием выкупа называется: readme.txt\r\nНа скриншотах записки, открытой в браузере и в обычном Блокноте, видно, что после ID тянется еще\r\nшлейф пропусков или невидимых символов. Если будет повторяться в последующих вариантах, то это\r\nможно считать характерным признаком. \r\nСодержание записки о выкупе:\r\nMEOW! MEOW! MEOW!  \r\n Your files has been encrypted! \r\n Need decrypt?  Write to e-mail: \r\n meowcorp2022@aol.com\r\nhttps://id-ransomware.blogspot.com/2022/09/meow-ransomware.html\r\nPage 2 of 9\n\nmeowcorp2022@proton.me \r\n meowcorp@msgsafe.io \r\n meowcorp@onionmail.org\r\n or Telegram: \r\n @meowcorp2022 \r\n @meowcorp123 \r\n Uniq ID: eabc2ef6-246a-482c-8c20-c306d0ada***\r\nПеревод записки на русский язык:\r\nМЯУ! МЯУ! МЯУ!\r\nВаши файлы были зашифрованы!\r\nНужна расшифровка? Пишите на почту:\r\n meowcorp2022@aol.com\r\n meowcorp2022@proton.me \r\n meowcorp@msgsafe.io \r\n meowcorp@onionmail.org\r\n или Telegram: \r\n @meowcorp2022 \r\n @meowcorp123\r\nUniq ID: eabc2ef6-246a-482c-8c20-c306d0ada***\r\n✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в\r\nконце статьи, в обновлениях. Они могут отличаться от первого варианта. \r\nТехнические детали + IOC\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nhttps://id-ransomware.blogspot.com/2022/09/meow-ransomware.html\r\nPage 3 of 9\n\n✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или\r\nTotal Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nСписок пропускаемых типов файлов: \r\n.exe и текстовые файлы записок. \r\nФайлы, связанные с этим Ransomware:\r\nreadme.txt - название файла с требованием выкупа;\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: meowcorp2022@aol.com, meowcorp2022@proton.me, meowcorp@msgsafe.io,\r\nmeowcorp@onionmail.org\r\nTelegram: @meowcorp2022, @meowcorp123\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов: \r\nIOC: VT, HA, IA, TG, AR, VMR, JSB\r\nMD5: 033acf3b0f699a39becdc71d3e2dddcc\r\nSHA-1: 5949c404aee552fc8ce29e3bf77bd08e54d37c59\r\nSHA-256: 222e2b91f5becea8c7c05883e4a58796a1f68628fbb0852b533fed08d8e9b853\r\nhttps://id-ransomware.blogspot.com/2022/09/meow-ransomware.html\r\nPage 4 of 9\n\nVhash: 025056655d15556az4oz15z27z\r\nImphash: 393974af133d6ece27fff97c28840d99\r\nСтепень распространённости: низкая.\r\nИнформация дополняется. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 11-12 сентября 2022:\r\nРасширение: .MEOW\r\nЗаписка: readme.txt\r\nEmail: meowcorp2022@aol.com\r\n meowcorp2022@proton.me \r\n meowcorp@msgsafe.io \r\n meowcorp@onionmail.org\r\nTelegram: @meowcorp321 \r\n @meowcorp123 \r\n @meowcorp2022\r\nВариант от 18 ноября 2022: \r\nhttps://id-ransomware.blogspot.com/2022/09/meow-ransomware.html\r\nPage 5 of 9\n\nВариант, связанный с группой, использующей NB65 Ransomware, напрямую, или через варианты MEOW. \r\nРасширение: .PUTIN\r\nЗаписка: readme.txt или README.txt\r\nTelegram: @PutinRestore\r\nTelegram channel: @PutinInformation\r\nФайл: cryptor.exe или другой. \r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.35209, Trojan.Encoder.36948, Trojan.Encoder.37059\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Conti.K\r\nMicrosoft -\u003e Ransom:Win32/Conti.AD!MTB\r\nВариант от 14 января 2023:\r\nРасширение: .KREMLIN\r\nЗаписка: README.txt\r\nTelegram: @KremlinRestore\r\nВариант от 29 января или раньше:\r\nhttps://id-ransomware.blogspot.com/2022/09/meow-ransomware.html\r\nPage 6 of 9\n\nРасширение: .RUSSIA\r\nЗаписка: README.txt\r\nTelegram: @RussiaRestore\r\nНовость от 12 февраля 2023:\r\nВымогатели этой группы решили прекратить свою вымогательскую деятельность и опубликовали\r\nдешифратор с ключами для всех версий,  начиная с ноября 2022 года. Для более ранних, видимо нет,\r\nключей. \r\nПосле получения сообщения мы скачали исходные архивы и передали их специалистам Emsisoft для\r\nсоздания безопасного дешифровщика. Надеемся, что этот процесс не займёт много времени. \r\nНовость от 16-17 марта 2022:\r\nEmsisoft из-за сложной и противоречивой обстановки в мире не сделали дешифровщик.\r\nВ итоге, вчера Лаборатория Касперского добавила ключи дешифрования для трёх вариантов Meow в свой\r\nRakhniDecryptor. \r\nВ настоящий момент могут быть расшифрованы только файлы с расширениями: .PUTIN, .KREMLIN,\r\n.RUSSIA\r\nПредлагаем выложить также ключи для раннего варианта, который шифровал файлы с расширением\r\n.MEOW \r\nhttps://id-ransomware.blogspot.com/2022/09/meow-ransomware.html\r\nPage 7 of 9\n\nБезопаснее передать ключи нам, а не публиковать их где попало. \r\n***\r\nПосле публикации ключей для трёх вариантов, посыпались однотипные вымогатели от других желающих\r\n\"наварить бабла\" на вымогательстве. \r\nМы не стремимся собрать все варианты, но если кто-то хочет и может суммировать информацию,\r\nприсылайте и мы опубликуем. \r\nВариант от 10 марта 2023:\r\nВариант, связанный с группой, использующей NB65 Ransomware, напрямую, или через варианты MEOW.\r\nОпределяется DrWeb как Trojan.Encoder.35209.\r\nРасширение: .RCHAT\r\nЗаписка: README.txt\r\nTelegram: @RansomChat, @RansomRussia\r\nВариант от 12 марта 2023: \r\nРасширение: .LOCK2023\r\nЗаписка: README.txt\r\nФайл: cryptor.exe\r\nВариант от 27 марта 2023: \r\nРасширение: .FUETE\r\nЗаписка: README.txt\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n myMessage + Message + Message\r\n Write-up, Topic of Support, Topic of Support-2\r\n ***\r\nhttps://id-ransomware.blogspot.com/2022/09/meow-ransomware.html\r\nPage 8 of 9\n\nThanks:\r\n quietman7, Sandor, thyrex, al1963,\r\n Andrew Ivanov (article author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2022/09/meow-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2022/09/meow-ransomware.html\r\nPage 9 of 9", "extraction_quality": 1, "language": "RU", "sources": [ "Malpedia" ], "references": [ "https://id-ransomware.blogspot.com/2022/09/meow-ransomware.html" ], "report_names": [ "meow-ransomware.html" ], "threat_actors": [ { "id": "f547e816-ea17-442e-915d-c5c76a30669b", "created_at": "2022-10-25T16:07:23.891717Z", "updated_at": "2026-04-10T02:00:04.780944Z", "deleted_at": null, "main_name": "NB65", "aliases": [], "source_name": "ETDA:NB65", "tools": [ "NB65" ], "source_id": "ETDA", "reports": null }, { "id": "8754f54b-7154-4996-b065-94f04f846022", "created_at": "2023-11-07T02:00:07.095161Z", "updated_at": "2026-04-10T02:00:03.405596Z", "deleted_at": null, "main_name": "NB65", "aliases": [ "Network Battalion 65" ], "source_name": "MISPGALAXY:NB65", "tools": [], "source_id": "MISPGALAXY", "reports": null } ], "ts_created_at": 1775434257, "ts_updated_at": 1775791541, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/18db56f21cdd9eb1f4528365b53720b82bb9c4fe.pdf", "text": "https://archive.orkl.eu/18db56f21cdd9eb1f4528365b53720b82bb9c4fe.txt", "img": "https://archive.orkl.eu/18db56f21cdd9eb1f4528365b53720b82bb9c4fe.jpg" } }