{
	"id": "2ceb3a24-0bb9-418a-b399-99848d6c7cee",
	"created_at": "2026-04-06T00:21:06.813119Z",
	"updated_at": "2026-04-10T03:33:41.790942Z",
	"deleted_at": null,
	"sha1_hash": "20bc0ff5baab5d4fd4b6b5ea67a9779f74559cb2",
	"title": "Egregor",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 460725,
	"plain_text": "Egregor\r\nArchived: 2026-04-05 21:59:33 UTC\r\nEgregor Ransomware\r\nEgregor Doxware\r\n(шифровальщик-вымогатель, RaaS, публикатор) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует\r\nсвязаться в течение 3 дней для уплаты выкупа в # BTC, чтобы вернуть файлы. Оригинальное название: в\r\nзаписке не указано. Хакеры-вымогатели: Twisted Spider Extortion Group. Среди вымогателей есть граждане\r\nУкраины, по другим данным это международная хакерская группа. \r\nВымогатели, распространяющие Egregor, угрожают опубликовать украденные данные с целью усиления\r\nдавления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели\r\nначинают кражу данных ещё перед шифрованием файлов. На момент публикации статьи еще не было\r\nизвестно о публикациях украденных данных, вымогатели только угрожали, что данные будут\r\nопубликованы в СМИ. Позже появилась информация, что операторы Maze перешли на Egregor. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Siggen10.31058\r\nBitDefender -\u003e Gen:Variant.Zusy.313821\r\nESET-NOD32 -\u003e A Variant Of Win32/Kryptik.HEDE\r\nMalwarebytes -\u003e ***\r\nRising -\u003e Trojan.Generic@ML.88 (RDML:5pA***\r\nSymantec -\u003e Trojan.Gen.2\r\nTencent -\u003e Win32.Trojan.Johnnie.Pdmk\r\nTrendMicro -\u003e TROJ_GEN.R002H09IO20, TROJ_FRS.0NA103IQ20\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: Maze \u003e Sekhmet \u003e Egregor\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 1 of 15\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .\u003crandom\u003e Внимание! Новые расширения,\r\nemail и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с\r\nпервоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на середину сентября 2020 г. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: RECOVER-FILES.txt\r\nСодержание записки о выкупе:\r\n��\r\n------------------\r\n| What happened? |\r\n------------------\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 2 of 15\n\nYour network was ATTACKED, your computers and servers were LOCKED,\r\nYour private data was DOWNLOADED.\r\n----------------------\r\n| What does it mean? |\r\n----------------------\r\nIt means that soon mass media, your partners and clients WILL KNOW about your PROBLEM.\r\n--------------------------\r\n| How it can be avoided? |\r\n--------------------------\r\nIn order to avoid this, \r\nTo avoid this issue you are to COME IN TOUCH WITH US no later than within 3 DAYS and conclude the data\r\nrecovery and breach fixing AGREEMENT.\r\n-------------------------------------------\r\n| What if I do not contact you in 3 days? |\r\n-------------------------------------------\r\nIf you do not contact us in the next 3 DAYS we will begin DATA publication.\r\n-----------------------------\r\n| I can handle it by myself |\r\n-----------------------------\r\nIt is your RIGHT, but in this case all your data will be published for public USAGE.\r\n-------------------------------\r\n| I do not fear your threats! |\r\n-------------------------------\r\nThat is not the threat, but the algorithm of our actions.\r\nIf you have hundreds of millions of UNWANTED dollars, there is nothing to FEAR for you.\r\nThat is the EXACT AMOUNT of money you will spend for recovery and payouts because of PUBLICATION.\r\n--------------------------\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 3 of 15\n\n| You have convinced me! |\r\n--------------------------\r\nThen you need to CONTACT US, there is few ways to DO that.\r\nI. Recommended (the most secure method)\r\n   a) Download a special TOR browser: https://www.torproject.org/ \r\n   b) Install the TOR browser\r\n   c) Open our website with LIVE CHAT in the TOR browser: http://egregor[redacted].onion/[redacted]\r\n   d) Follow the instructions on this page.\r\nII. If the first method is not suitable for you\r\n   a) Open our website with LIVE CHAT: https://[redacted].top/[redacted]\r\n   b) Follow the instructions on this page.\r\nOur LIVE SUPPORT is ready to ASSIST YOU on this website.\r\n----------------------------------------\r\n| What will I get in case of agreement |\r\n----------------------------------------\r\nYou WILL GET full DECRYPTION of your machines in the network, FULL FILE LISTING of downloaded data,\r\nconfirmation of downloaded data DELETION from our servers, RECOMMENDATIONS for securing your\r\nnetwork perimeter.\r\nAnd the FULL CONFIDENTIALITY ABOUT INCIDENT.\r\n----------------------------------------------------------------------------------\r\nDo not redact this special technical block, we need this to authorize you.\r\n---EGREGOR---\r\n[redacted base64]\r\n---EGREGOR---\r\nПеревод записки на русский язык:\r\n�� \r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 4 of 15\n\n------------------\r\n| Что произошло? |\r\n------------------\r\nВаша сеть АТАКОВАНА, ваши компьютеры и серверы БЛОКИРОВАНЫ,\r\nВаши личные данные ЗАГРУЖЕНЫ.\r\n----------------------\r\n| Что это значит? |\r\n----------------------\r\nЭто значит, что скоро СМИ, ваши партнеры и клиенты УЗНАЮТ о вашей ПРОБЛЕМЕ.\r\n--------------------------\r\n| Как этого избежать? |\r\n--------------------------\r\nЧтобы этого избежать,\r\nЧтобы избежать этой проблемы, вы должны СВЯЗАТЬСЯ С НАМИ не позднее 3 ДНЕЙ и заключить\r\nСОГЛАШЕНИЕ о восстановлении данных и устранении нарушений.\r\n-------------------------------------------\r\n| Что делать, если я не свяжусь с вами в течение 3 дней? |\r\n-------------------------------------------\r\nЕсли вы не свяжетесь с нами в следующие 3 ДНЕЙ, мы начнем публикацию ДАННЫХ.\r\n-----------------------------\r\n| Я справлюсь сам |\r\n-----------------------------\r\nЭто ваше ПРАВО, но в этом случае все ваши данные будут опубликованы для публичного использования.\r\n-------------------------------\r\n| Я не боюсь ваших угроз! |\r\n-------------------------------\r\nЭто не угроза, а алгоритм наших действий.\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 5 of 15\n\nЕсли у вас есть сотни миллионов НЕНУЖНЫХ долларов, вам нечего бояться.\r\nЭто ТОЧНАЯ СУММА денег, которую вы потратите на восстановление и выплаты из-за ПУБЛИКАЦИИ.\r\n--------------------------\r\n| Вы меня убедили! |\r\n--------------------------\r\nТогда вам нужно СВЯЗАТЬСЯ С НАМИ, есть несколько способов сделать это.\r\nI. Рекомендуемый (самый безопасный метод)\r\n   а) Загрузите специальный браузер TOR: https://www.torproject.org/\r\n   б) Установите браузер TOR\r\n   c) Откройте наш веб-сайт с помощью LIVE CHAT в браузере TOR: http://egregor[скрыто].onion/[скрыто]\r\n   г) Следуйте инструкциям на этой странице.\r\nII. Если первый способ вам не подходит\r\n   а) Откройте наш веб-сайт в ЖИВОМ ЧАТЕ: https://[скрыто].top/[скрыто]\r\n   б) Следуйте инструкциям на этой странице.\r\nНаша Живая ПОДДЕРЖКА готова помочь ВАМ на этом сайте.\r\n----------------------------------------\r\n| Что я получу в случае соглашения |\r\n----------------------------------------\r\nВЫ ПОЛУЧИТЕ ПОЛНУЮ РАСШИФРОВКУ ваших машин в сети, ПОЛНЫЙ СПИСОК ФАЙЛОВ\r\nзагруженных данных,\r\nподтверждение УДАЛЕНИЯ загруженных данных с наших серверов, РЕКОМЕНДАЦИИ по охране\r\nпериметра вашей сети.\r\nИ ПОЛНАЯ КОНФИДЕНЦИАЛЬНОСТЬ ОБ ИНЦИДЕНТЕ.\r\n-------------------------------------------------- --------------------------------\r\nНе редактируйте этот специальный технический блок, он нужен нам для авторизации.\r\n---EGREGOR---\r\n[скрыто base64]\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 6 of 15\n\n---EGREGOR---\r\nСайт вымогателей находит в сети Tor.\r\nСодержание текста на сайте:\r\nEgregor\r\nGreetings\r\nWe have hacked your network, downloaded and encrypted your data.\r\nYou can recover your data and prevent data leakage to public.\r\nPlease upload your note RECOVER-FILES.txt using the form below and start recovering your data.\r\nAfter you upload note, you will be provided with further instructions.\r\nПеревод на русский язык:\r\nEgregor\r\nПриветствую\r\nМы взломали вашу сеть, скачали и зашифровали ваши данные.\r\nВы можете вернуть свои данные и остановить утечку данных в открытый доступ.\r\nЗагрузите записку RECOVER-FILES.txt, используя форму ниже, и начните возврат своих данных.\r\nПосле загрузки записки вам будут предоставлены дальнейшие инструкции.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 7 of 15\n\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Egregor Ransomware использует три разные функции Windows API, чтобы проверить компьютер на\r\nпринадлежность к России или и некоторым странам СНГ и прекратит работу, если обнаружит следующие\r\nлокали: \r\n0423 Белорусский (Беларусь)\r\n0428 Таджикский (кириллица, Таджикистан)\r\n042B Армянский (Армения)\r\n042C Азербайджанский (латиница, Азербайджан)\r\n0437 Грузинский (Грузия)\r\n043F Казахский (Казахстан)\r\n0440 Киргизский (Киргизия)\r\n0442 Туркменский - Туркмения\r\n0443 Узбекский (латиница, Узбекистан)\r\n0444 Татарский (Россия)\r\n0818 Румынский (Молдова)\r\n0819 Русский (Молдова)\r\n082C Азербайджанский (кириллица, Азербайджан)\r\n0843 Узбекский (кириллица, Узбекистан)\r\n➤ Для каждого шифруемого файла используется новое случайное расширение. Используется файловый\r\nмаркер из двух DWORD в EOF XOR'd вместе до определенного значения для идентификации\r\nзашифрованных файлов. \u003e\u003e\r\n➤ Подробности шифрования:\r\nШифровальщик использует функции API GetLogicalDriveStrings и GetDiskFreeSpace для определения имён\r\nи типов логических дисков, подключенных к устройству, в дополнение к количеству доступного на них\r\nсвободного места. \r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 8 of 15\n\nОткрытый RSA-ключ встроен в конфигурацию. Для каждого шифруемого файла генерируется пара\r\nзакрытого и открытого ключей. Открытый ключ используется для шифрования симметричных ключей,\r\nкоторые позже будут использоваться для шифрования каждого файла. Для каждого шифруемого файла \r\nсоздается уникальный симметричный ключ.\r\nСхема генерации ключей:\r\n- С помощью CryptGenKey создается 2048-битная пара RSA-ключей (т.н. сеансовый ключ).\r\n- Затем ключ экспортируется с помощью API CryptExportKey.\r\n- Экспортированный ключ шифруется с помощью ChaCha с использованием случайно сгенерированного\r\nключа и IV.\r\n- Ключи ChaCha зашифрованы с помощью функции CryptEncrypt и открытого RSA-ключ, встроенного в\r\nконфигурацию.\r\n- Зашифрованный ключ ChaCha и зашифрованный сеансовый ключ сохраняются на диск по жестко\r\nзаданному пути %ProgramData%\\dtb.dat\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nRECOVER-FILES.txt - название файла с требованием выкупа\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nb.dll - представленный для анализа файл\r\ntestbuild.pdb - название файла проекта\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 9 of 15\n\nM:\\sc\\p\\testbuild.pdb\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL: http://egregor***.onion\r\nEmail: - \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\n➤ Triage analysis \u003e\u003e\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e  AR\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nMaze Ransomware - май 2019 - ноябрь 2020\r\nSekhmet Ransomware - март 2020 - октябрь 2020\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 10 of 15\n\nEgregor Ransomware -  сентябрь 2020 - февраль 2021\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 12 октября 2020:\r\nРасширение: .CRYTEK\r\nПострадавшие компании Ubisoft и Crytek\r\nОбновление от 12 октября 2020:\r\nСообщение \u003e\u003e\r\nОбновление от 29 октября 2020:\r\nСтатья о закрытии вымогательского проекта \"Maze Ransomware\" и переход операторов вымогателей на\r\n\"Egregor Ransomware\". \r\nВымогатели также подтверждили, что Maze, Sekhmet, Egregor являются их вымогательскими програмами. \r\nБолее того, пострадавшие от Egregor после уплаты выкупа получают. Sekhmet Decryptor.  \r\nОбновление от 18 ноября 2020:\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 11 of 15\n\nДеятели стоящие за Egregor Ransomware решили заявить о себе оригинальным способом. Чтобы привлечь\r\nвнимание жертвы после атаки они стали с помощью сценария добавлять в печать на принтер своё\r\nсообщение. Это не отдельно взятый случай. Egregor многократно печатает записки о выкупе на всех\r\nдоступных сетевых и местных принтерах.\r\n------------------\r\n| What happened? |\r\n------------------\r\nYour network was ATTACKED, your computers and servers were LOCKED,\r\nYour private data was DOWNLOADED.\r\n----------------------\r\n| What does it mean? |\r\n----------------------\r\nIt means that soon mass media, your partners and clients WILL KNOW about your PROBLEM.\r\n--------------------------\r\n***\r\nЭто сообщение полностью есть в начале статьи, нет смысла повторть его здесь. Важно отметить, что\r\nвымогатели делают это для того, чтобы повысить осведомленность общественности об атаке и усилить\r\nдавление на организацию-жертву, вынуждая её заплатить выкуп. Многие организации, государственные и\r\nфинансовые учреждение предпочитают скрывать инциденты с вымогательством. \r\nОбновление от 30 ноября 2020:\r\nВыплата выкупа теперь называется контрактом. 👾\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 12 of 15\n\nОбновление от 1 декабря 2020:\r\nРасширение: .SEBsC\r\nЗаписка: RECOVER-FILES.txt\r\nTor-URL: xxxx://egregor4u5ipdzhv.onion/C4BA3647FD0D6918\r\nURL: xxxxs://egregor-support.com/C4BA3647FD0D6918\r\nФайл проекта: G:\\Intel\\Logs\\qqqqq.pdb\r\nФайл: qq.dll\r\nРезультаты анализов: VT + AR\r\n \r\nОбновление от 10 февраля 2021:\r\nВ ходе совместной операции полиции Франции и Украины удалось арестовать некоторых участников\r\nвымогательства Egregor Ransomware. \r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 13 of 15\n\n=== 2022 ===\r\nНовость от 9 февраля 2022\r\nПредставитель группы вымогателей выложил в общий доступ на форуме BleepingComputer ключи\r\nдешифрования для пострадавших от Maze, Sekhmet, Egregor Ransomware.   \r\nСсылка на скриншоте скрыта, чтобы не дать возможность использовать вредоносные файлы инфектора\r\nm0yv, которые были в архиве. \r\nВнимание! \r\nТеперь есть дешифровщик \u003e\u003e\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + myTweet\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 14 of 15\n\nID Ransomware (ID as Egregor)\r\n Write-up, Topic of Support\r\n Added later: Write-up (on December 7, 2020)\r\n Thanks:\r\n Michael Gillespie, MalwareHunterTeam\r\n Andrew Ivanov (author)\r\n Tom Roter (Minerva Labs)\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html\r\nPage 15 of 15",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/09/egregor-ransomware.html"
	],
	"report_names": [
		"egregor-ransomware.html"
	],
	"threat_actors": [
		{
			"id": "e9f85280-337c-4321-b872-0919f8ef64a6",
			"created_at": "2022-10-25T16:07:24.261761Z",
			"updated_at": "2026-04-10T02:00:04.914455Z",
			"deleted_at": null,
			"main_name": "TA2101",
			"aliases": [
				"Gold Village",
				"Maze Team",
				"TA2101",
				"Twisted Spider"
			],
			"source_name": "ETDA:TA2101",
			"tools": [
				"7-Zip",
				"Agentemis",
				"BokBot",
				"Buran",
				"ChaCha",
				"Cobalt Strike",
				"CobaltStrike",
				"Egregor",
				"IceID",
				"IcedID",
				"Mimikatz",
				"PsExec",
				"SharpHound",
				"VegaLocker",
				"WinSCP",
				"cobeacon",
				"nmap"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "c3c864b3-fac9-4d56-8500-7c06c829fbf8",
			"created_at": "2023-01-06T13:46:39.071873Z",
			"updated_at": "2026-04-10T02:00:03.203749Z",
			"deleted_at": null,
			"main_name": "TA2101",
			"aliases": [
				"GOLD VILLAGE",
				"Storm-0216",
				"DEV-0216",
				"UNC2198",
				"TUNNEL SPIDER",
				"Maze Team",
				"TWISTED SPIDER"
			],
			"source_name": "MISPGALAXY:TA2101",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434866,
	"ts_updated_at": 1775792021,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/20bc0ff5baab5d4fd4b6b5ea67a9779f74559cb2.pdf",
		"text": "https://archive.orkl.eu/20bc0ff5baab5d4fd4b6b5ea67a9779f74559cb2.txt",
		"img": "https://archive.orkl.eu/20bc0ff5baab5d4fd4b6b5ea67a9779f74559cb2.jpg"
	}
}