{
	"id": "e5ae9b80-faad-4c2f-8538-1ac4007fc423",
	"created_at": "2026-04-06T00:09:50.030645Z",
	"updated_at": "2026-04-10T13:12:36.480862Z",
	"deleted_at": null,
	"sha1_hash": "18f198b377f3ad61c373cd333996d2d4ee7858cb",
	"title": "Sfile, Escal",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 915481,
	"plain_text": "Sfile, Escal\r\nArchived: 2026-04-05 20:02:46 UTC\r\nSfile Ransomware\r\nVariants: Sfile2, Sfile3, Escal \r\nSfile NextGen Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные корпоративной сети и бизнес-пользователей с помощью SHA-512 + AES-256 + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название:\r\nв записке не указано. На файле написано: нет данных.\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31603, Trojan.Encoder.31622, Trojan.Encoder.33280\r\nBitDefender -\u003e Gen:Variant.MSILPerseus.494, Gen:Variant.Razy.647127\r\nESET-NOD32 -\u003e A Variant Of MSIL/Filecoder.AC, A Variant Of Win32/Filecoder.OBU\r\nKaspersky -\u003e Trojan.Win32.Deshacop.bqu, UDS:DangerousObject.Multi.Generic\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTrendMicro -\u003e TROJ_GEN.R002C0WDL20\r\nTencent -\u003e Win32.Trojan.Filecoder.Pikr\r\n---\r\n© Генеалогия: Sfile \u003e Sfile2, Sfile3 \u003e Escal \u003e Sfile NextGen: MetaEncryptor \u003e LostTrust\r\nИзображение — логотип статьи\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 1 of 18\n\nК зашифрованным файлам добавляется расширение: .sfile2 Внимание! Новые расширения, email и\r\nтексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным\r\nвариантом. \r\nАктивность этого крипто-вымогателя пришлась на первую половину февраля 2020 г. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: !!_FILES_ENCRYPTED_.txt\r\nСодержание записки о выкупе:\r\nYour network has been penetrated.\r\nAll files on each host in the network have been encrypted with a strong algorithm.\r\nBackups, replications were either encrypted or wiped. Shadow copies also removed.\r\nDO NOT RESET OR SHUTDOWN - files may be damaged.\r\nDO NOT RENAME OR MOVE the encrypted and readme files.\r\nDO NOT DELETE *.sfile2 files.\r\nThis may lead to the impossibility of recovery of the certain files.\r\nTo get info how to decrypt your files, contact us at:\r\ngtimph@protonmail.com\r\nTo confirm our honest intentions we will decrypt few files for free.\r\nSend 2 different files with extension *.sfile2. Files should not contain essential information.\r\nFiles should be inside ZIP archive and mailed to us (SUBJ : your domain or network name).\r\nIt can be from different computers on your network to be sure we decrypts everything.\r\nThe procedure to decrypt the rest is simple:\r\nAfter payment we will send you decryption software.\r\nDon't waste time, send email with files attached as soon as possible.\r\nIt's just a business. We absolutely do not care about you and your deals, except getting benefits.\r\nIf we do not do our work and liabilities - nobody will not cooperate with us. It's not in our interests.\r\nIf you will not cooperate with our service - for us, it's doesn't matter. But you will lose your time and data, cause\r\njust we have the private key.\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 2 of 18\n\nПеревод записки на русский язык:\r\nВаша сеть взломана.\r\nВсе файлы на каждом хосте в сети были зашифрованы с надежным алгоритмом.\r\nРезервные копии, репликации были либо зашифрованы, либо стерты. Теневые копии также удалены.\r\nНЕ СБРАСЫВАЙТЕ ИЛИ НЕ ВЫКЛЮЧАЙТЕ - файлы могут быть повреждены.\r\nНЕ ПЕРЕИМЕНОВЫВАЙТЕ ИЛИ ПЕРЕМЕЩАЙТЕ зашифрованные и readme-файлы \r\nНЕ УДАЛЯЙТЕ файлы *.sfile2.\r\nЭто может привести к невозможности восстановления определенных файлов.\r\nЧтобы получить информацию о том, как расшифровать ваши файлы, свяжитесь с нами по адресу:\r\ngtimph@protonmail.com\r\nЧтобы подтвердить наши честные намерения, мы расшифруем несколько файлов бесплатно.\r\nОтправьте 2 разных файла с расширением *.sfile2. Файлы не должны содержать важную информацию.\r\nФайлы должны быть внутри ZIP-архива и отправлены нам по почте (ТЕМА ПИСЬМА: ваш домен или\r\nсетевое имя).\r\nЭто может быть с разных компьютеров в вашей сети, чтобы быть уверенным, что мы все расшифруем.\r\nПроцедура расшифровки всего остального проста:\r\nПосле оплаты мы вышлем вам программу для расшифровки.\r\nНе тратьте время, отправьте email с прикрепленными файлами как можно скорее.\r\nЭто просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды.\r\nЕсли мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать. Это не в\r\nнаших интересах.\r\nЕсли вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое\r\nвремя и данные, потому что только у нас есть закрытый ключ.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 3 of 18\n\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\n!!_FILES_ENCRYPTED_.txt - название текстового файла\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: gtimph@protonmail.com\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 4 of 18\n\nSfile - ранний вариант\r\nSfile2 - с начала февраля 2020 (или ранее) по апрель 2020\r\nSfile3 - c конца февраля 2020\r\nSfile NextGen, Escal (.\u003ccompany_name\u003e-\u003crandom\u003e) - с начала июня 2020\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 28 февраля 2020:\r\nРасширение: .sfile3\r\nЗаписка: !!_FILES_ENCRYPTED_.txt\r\nEmail: cupermate@protonmail.com, cupermate@elude.in\r\nEmail: vinilblind@protonmail.com, blefbeef@elude.in\r\nDNS: files.fm\r\nВредоносный файл: пункты назначения и грузы.xlsx.exe\r\nРезультаты анализов: VT + AR + IA + HA\r\n---\r\nВредоносные файлы: webroot_updater.exe, ransomware.exe\r\nРезультаты анализов: VT / VT + VMR\r\nВариант от 8 мая 2020:\r\nПост в Твиттере \u003e\u003e\r\n \r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 5 of 18\n\nВариант от 10 июня 2020:\r\nПост в Твиттере \u003e\u003e\r\nМой пост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e (еще несколько образцов от JAMESWT)\r\nРасширение (шаблон): .\u003ccompany_name\u003e-\u003crandom\u003e\r\nРасширение (пример): .ESCAL-p9yqoly\r\nESCAL - название пострадавшей компании\r\nЗаписка: !!_FILES_ENCRYPTED_.txt\r\nФайл: ransomware.exe\r\nПуть проекта: D:\\code\\ransomware_win\\bin\\ransomware.pdb\r\nРезультаты анализов: VT + IA + TG + VMR\r\nПохож на один из вариантов от 22 апреля (см. выше). \r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.31622\r\nBitDefender -\u003e Gen:Variant.Razy.647127\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OBU\r\n---\r\n➤ Содержание записки:\r\nYour network has been penetrated.\r\nAll files on each host in the network have been encrypted with a strong algorithm.\r\nBackups, replications were either encrypted or wiped. Shadow copies also removed.\r\nDO NOT RESET OR SHUTDOWN - files may be damaged.\r\nDO NOT RENAME OR MOVE the encrypted and readme files.\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 6 of 18\n\nDO NOT DELETE *.ESCAL-p9yqoly files.\r\nThis may lead to the impossibility of recovery of the certain files.\r\nTo get info how to decrypt your files, contact us at:\r\n imperial755@protonmail.com \r\n imperial@mailfence.com \r\nTo confirm our honest intentions we will decrypt few files for free.\r\nSend 2 different files with extension *.ESCAL-p9yqoly. Files should not contain essential information.\r\nFiles should be inside ZIP archive and mailed to us (SUBJ : your domain or network name).\r\nIt can be from different computers on your network to be sure we decrypts everything.\r\nThe procedure to decrypt the rest is simple:\r\nAfter payment we will send you decryption software.\r\nDon't waste time, send email with files attached as soon as possible.\r\nif you contact the police, they completely BLOCK any activity (mainly financial) of the company until the end of\r\nthe proceedings on their part.\r\nIt's just a business. We absolutely do not care about you and your deals, except getting benefits.\r\nIf we do not do our work and liabilities - nobody will not cooperate with us. It's not in our interests.\r\nIf you will not cooperate with our service - for us, it's doesn't matter. But you will lose your time and data, cause\r\njust we have the private key.\r\nВариант от 18 августа 2020: \r\nПост в Твиттере \u003e\u003e\r\nРасширение (шаблон): .\u003ccompany_name\u003e-\u003crandom\u003e\r\nРасширение (пример): .morseop-7j9wrqr\r\nMORSE O.P. - название пострадавшей компании\r\nЗаписка: how restore hurt documents.inf\r\nEmail: greemsy.jj@protonmail.ch, jj.greemsy@mailfence.com  \r\nФайл: SystemScheduleHost.exe\r\nРезультаты анализов: VT + IA + AR\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 7 of 18\n\nВариант от 23 ноября 2020: \r\nРасширение (шаблон): .\u003ccompany_name\u003e-\u003crandom\u003e\r\nРасширение (пример): .BRN-qfp7mkc\r\nЗаписка: readme_to BRN.inf\r\nEmail: johny2recoveryusa@protonmail.com, johny3@mailfence.com \r\nРезультаты анализов: VT + AR + IA\r\n➤ Содержание записки: \r\nHello!\r\nYour network is penetrated.\r\nForced shutdown of devices can lead to the loss of all data. Do not forcibly disconnect storage volumes from\r\nhosts, \r\ninterrupt process and restart. Damaged information cannot be recovered.\r\nAll data is properly protected against unauthorized access by steady encryption technology.\r\nWe have downloaded essential data of company: \r\nPersonal data of employees.\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 8 of 18\n\nHR files.\r\nCustomer records. Database backups (Syspro\\3dx\\etc), CAD files for last few years.\r\nMarketing data, current projects, .\r\nFinancial, accounting, payroll data.\r\nIn case if you refuse to cooperate with us, all essential data will be published at forums. Full details and proofs\r\nwill be\r\nprovided in case of contacting us by following emails.\r\nWe can help you to quickly recover all your files. \r\nWe will explain what kind of vulnerability was used to hack your network.\r\nIf you will not cooperate with us, you will never know how your network was compromised. We guarantee this\r\nwill happen again. \r\nIt's just a business.\r\n johny2recoveryusa@protonmail.com \r\n johny3@mailfence.com \r\nWe can decrypt 2 small files (up to 1MB) for free. Send files by email.  \r\nRegister new email account at secure mail service, to be sure that outgoing email not blocked by spam filter. \r\nWARNING!\r\nDon't report to police. They will suspend financial activity of company and negotiation process.\r\n=== 2021 ===\r\nВариант от 13 февраля 2021: \r\nШтамп даты: 30 ноября 2020. \r\nРасширение (шаблон): .\u003ccompany_name\u003e-\u003crandom\u003e\r\nРасширение (пример): .LAZPARKING-bwxwvhui-w\r\nПострадавшая компания: LAZ Parking (США)\r\nEmail: jorge.smith@mailfence.com \r\nfinbdodscokpd@privatemail.com \r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 9 of 18\n\nЗаписка: !!LAZPARKING-MESSAGE.txt\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33280\r\nAvira (no cloud) -\u003e TR/FileCoder.snnre\r\nBitDefender -\u003e Gen:Variant.Razy.647127\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OBU\r\nKaspersky -\u003e Trojan-Ransom.Win32.Crypmodng.eb\r\nMalwarebytes -\u003e Ransom.Escal\r\nMicrosoft -\u003e Trojan:Win32/Glupteba!ml\r\nQihoo-360 -\u003e HEUR/QVM20.1.4487.Malware.Gen\r\nRising -\u003e Ransom.Escal!1.CA6C (CLASSIC)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Win32.Trojan.Filecoder.Lnee\r\nTrendMicro -\u003e Ransom.Win32.ESCAL.SMRA0C\r\nВариант от 19 февраля 2021: \r\nРасширение: .cityzone-nq7wcqgl\r\nПострадавшая компания: CityZone \r\nЗаписка: how_decipher hurt data.inf\r\nEmail: mallyrecovery@protonmail.ch, mally@mailfence.com \r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 10 of 18\n\nРезультаты анализов: VT\r\nВариант от 18 марта 2021:\r\nРасширение (шаблон): .\u003ccompany_name\u003e-\u003crandom\u003e\r\nРасширение (пример): .Technomous-zbtrqyd\r\nПострадавший: Technomous\r\nEmail: recoverfiles@ctemplar.com \r\nrecoverfilesquickly@ctemplar.com \r\nprimethetime@protonmail.com\r\nРезультаты анализов: VT\r\n*** пропущенные варианты ***\r\nВариант от 25 октября 2021:\r\nРасширение (шаблон): .\u003ccompany_name\u003e-\u003crandom\u003e\r\nРасширение (пример): .fmiint-sqnsxris\r\nПострадавший: Fmiint.com\r\nЗаписка: message_to fmiint.log\r\n➤ Содержание записки: \r\nHello!\r\nYour network is penetrated.\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 11 of 18\n\nForced shutdown of devices can lead to the loss of all data. Do not forcibly disconnect storage volumes from\r\nhosts, \r\ndon't interrupt process. Damaged information cannot be recovered.\r\nAll data is properly protected against unauthorized access by steady encryption technology.\r\nFirst of all we have uploaded more then 100 GB archived data from your file server and SQL server\r\nExample of data:\r\n- Accounting\r\n- Finance\r\n- Personal Data\r\n- Banking data\r\n- Audit\r\n- Management\r\n- Letters\r\n- Confidential files\r\nAnd more other... \r\nIn case if you refuse to cooperate with us, all essential data will be sold or published at forums.\r\nFull details and proofs will be provided in case of contacting us by following emails.\r\n ssdfsdfsdf@mailinfence.com \r\n ssdfsdfsdf@protonmail.com \r\nIt's just a business.\r\nWe can help you to quickly recover all your files. \r\nWe will explain what kind of vulnerability was used to hack your network.\r\nIf you will not cooperate with us, you will never know how your network was compromised. We guarantee this\r\nwill happen again. \r\nWe can decrypt 2 small files (up to 1MB) for free. Send files by email.  \r\nRegister new email account at secure mail service like mailfence, protonmail to be sure that outgoing email not\r\nblocked by spam filter. \r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 12 of 18\n\nDon't use gmail! \r\nWARNING!\r\nDon't upload this note or binaries to any services before contacting with us. Otherwise our emails will be locked\r\nand it will take more time to contact with us.\r\nDon't report to police. They will suspend financial activity of company and negotiation process.\r\n---\r\nФайл проекта: D:\\fake.pdb\r\nРезультаты анализов: VT + IA + TG\r\nВариант от 25 октября 2021:\r\nРасширение (шаблон): .\u003ccompany_name\u003e-\u003crandom\u003e\r\nРасширение (пример): .intercobros-9k7syfus\r\nФайл проекта: D:\\fake.pdb\r\nРезультаты анализов: VT \r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.34581\r\nBitDefender -\u003e Gen:Variant.Razy.647127\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.SFile.A\r\nKaspersky -\u003e Trojan-Ransom.Win32.Sfile.n\r\nMalwarebytes -\u003e Malware.AI.491590415\r\nMicrosoft -\u003e Ransom:Win32/IntcobCrypt.PA!MTB\r\nRising -\u003e Ransom.Sfile!1.DB2E (CLASSIC)\r\nSymantec -\u003e Downloader\r\nTencent -\u003e Win32.Trojan.Filecoder.Wskl\r\nTrendMicro -\u003e Ransom_Sfile.R002C0PKP21\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 13 of 18\n\nВариант от 21-25 декабря 2022: \r\nВариант для платформы FreeBSD, нацеленный на компанию в Китае. Использует библиотеку Mbed TLS,\r\nалгоритмы RSA-2048 и AES-256 для шифрования файлов. Шифрует файлы со следующими\r\nрасширениями.\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Linux.Encoder.123\r\nBitDefender -\u003e Trojan.Linux.Generic.225960\r\nESET-NOD32 -\u003e FreeBSD/Filecoder.SFile.A\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Linux.Agent.gen\r\nMicrosoft -\u003e Ransom:Linux/Filecoder.C!MTB\r\nRising -\u003e Ransom.SFile/Linux!1.DB2D (CLOUD)\r\nSymantec -\u003e Trojan.Gen.NPE\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 14 of 18\n\nTencent -\u003e Linux.Trojan.Agent.Wpsy\r\nTrendMicro -\u003e Trojan.Linux.ZYX.USELVLM21\r\n=== 2022 ===\r\nВариант от 4 января 2022: \r\nРасширение: .laposada-bfkruyz\r\nПострадавший: La Posada\r\nЗаписка: !!laposada_howtodecipher.inf\r\nEmail: rickowens@onionmail.org, rickowens@mailfence.com\r\nИспользуется: BCryptGenRandom\r\nФайл проекта: D:\\fake.pdb\r\nФайл: ransomware.exe\r\nРезультаты нализов: VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.34858\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.SFile.A\r\nKaspersky -\u003e Trojan-Ransom.Win32.Sfile.q\r\nRising -\u003e Ransom.Sfile!1.DB2E (CLASSIC)\r\nTrendMicro -\u003e Ransom_Agent.R002C0PA422\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 15 of 18\n\nВариант от 8 января 2022:  \r\nРасширение: .AFR-6fyvilv\r\nПострадавший: AFR\r\nЗаписка: readme_to AFR.log\r\nEmail: john.blues3i7456@protonmail.com, mario.jolly@mailfence.com\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.34873\r\nBitDefender -\u003e Gen:Variant.Razy.647127\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.SFile.A\r\nKaspersky -\u003e Trojan-Ransom.Win32.Sfile.r\r\nMalwarebytes -\u003e Ransom.FleCryptor\r\nMicrosoft -\u003e Ransom:Win32/LaposadaCrypt.PAA!MTB\r\nRising -\u003e Ransom.Sfile!1.DB2E (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Win32.Trojan.Filecoder.Wozq\r\nTrendMicro -\u003e Ransom_LaposadaCrypt.R002C0DA822\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 16 of 18\n\nВариант от 31 января 2022:\r\nРасширение: .nissenvelten-sjj3hhut \r\nEmail: niss.brook@onionmail.org, niss.brandon@mailfence.com\r\nРезультаты анализов: VT\r\nВариант от середины марта 2022:\r\nСообщение \u003e\u003e\r\nГруппа вымогателей называет себя Mindware. Используют SFile/SFile2 Ransomware для своих целей. \r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 17 of 18\n\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as Sfile)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n Andrew Ivanov (author)\r\n Jirehlov, dnwls0719\r\n Ravi, JAMESWT, Michael Gillespie\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html\r\nPage 18 of 18",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html"
	],
	"report_names": [
		"sfile2-ransomware.html"
	],
	"threat_actors": [
		{
			"id": "d90307b6-14a9-4d0b-9156-89e453d6eb13",
			"created_at": "2022-10-25T16:07:23.773944Z",
			"updated_at": "2026-04-10T02:00:04.746188Z",
			"deleted_at": null,
			"main_name": "Lead",
			"aliases": [
				"Casper",
				"TG-3279"
			],
			"source_name": "ETDA:Lead",
			"tools": [
				"Agentemis",
				"BleDoor",
				"Cobalt Strike",
				"CobaltStrike",
				"RbDoor",
				"RibDoor",
				"Winnti",
				"cobeacon"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434190,
	"ts_updated_at": 1775826756,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/18f198b377f3ad61c373cd333996d2d4ee7858cb.pdf",
		"text": "https://archive.orkl.eu/18f198b377f3ad61c373cd333996d2d4ee7858cb.txt",
		"img": "https://archive.orkl.eu/18f198b377f3ad61c373cd333996d2d4ee7858cb.jpg"
	}
}