{
	"id": "bb79bb20-06b9-4ac8-b950-f17aa13d09a7",
	"created_at": "2026-04-06T00:22:18.963383Z",
	"updated_at": "2026-04-10T03:20:55.766385Z",
	"deleted_at": null,
	"sha1_hash": "2101e27ae7d29834fa5bedaa2f545a13c471c8b7",
	"title": "Mespinoza, Pysa",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 291276,
	"plain_text": "Mespinoza, Pysa\r\nArchived: 2026-04-05 19:10:20 UTC\r\nMespinoza Ransomware\r\nPysa Ransomware\r\nMespinoza (Pysa) Doxware\r\nMespinoza (Pysa) Hand-Ransomware\r\n(шифровальщик-вымогатель, публикатор) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные на ПК бизнес-пользователей и компаний с помощью AES, а\r\nзатем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы.\r\nОригинальное название: в записке не указано. На файле написано: 1.exe, 51.exe или что-то еще. \r\nВымогатели, распространяющие Mespinoza-Pysa, стали угрожать опубликовать украденные данные с\r\nцелью усиления давления на жертву (отсюда дополнительное название — публикатор). Как известно из\r\nдругих Ransomware, для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием\r\nфайлов. Об этих акциях вымогателей сообщалось в СМИ. На момент публикации статьи, не было известно\r\nо публикациях украденных данных, вымогатели только угрожали. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.30075, Trojan.Encoder.30386, Trojan.Encoder.30815\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1, Gen:Variant.Ransom.Dee.1\r\nKaspersky -\u003e UDS:DangerousObject.Multi.Generic, HEUR:Trojan-Ransom.Win32.Encoder.gen\r\nTrendMicro -\u003e Ransom.Win32.LOCKERGOGA.AF, Ransom.Win32.MESPINOZA.A\r\n---\r\n© Генеалогия: Vurten \u003e Mespinoza, Pysa\r\nhttps://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html\r\nPage 1 of 9\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .locked Внимание! Новые расширения, email и\r\nтексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным\r\nвариантом. \r\nАктивность этого крипто-вымогателя пришлась на октябрь 2019 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: Readme.README\r\nСодержание записки о выкупе:\r\nHi Company,\r\nEvery byte on any types of your devices was encrypted.\r\nDon't try to use backups because it were encrypted too.\r\nTo get all your data back contact us:\r\nmespinoza980@protonmail.com\r\n--------------\r\nFAQ:\r\nhttps://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html\r\nPage 2 of 9\n\n1.\r\n   Q: How can I make sure you don't fooling me?\r\n   A: You can send us 2 files(max 2mb).\r\n2.\r\n   Q: What to do to get all data back?\r\n   A: Don't restart the computer, don't move files and write us.\r\n3.\r\n   Q: What to tell my boss?\r\n   A: Shit happens.\r\nПеревод записки на русский язык:\r\nПривет компания,\r\nКаждый байт на любых типах ваших устройств был зашифрован.\r\nНе пытайтесь использовать резервные копии, потому что они тоже зашифрованы.\r\nЧтобы получить все свои данные, свяжитесь с нами:\r\nmespinoza980@protonmail.com\r\n--------------\r\nВОПРОСЫ-ОТВЕТЫ:\r\n1.\r\n    Q: Как я могу убедиться, что ты не обманешь меня?\r\n    A: Вы можете отправить нам 2 файла (не более 2 МБ).\r\n2.\r\n    В: Что нужно сделать, чтобы вернуть все данные?\r\n    A: Не перезагружайте компьютер, не перемещайте файлы и пишите нам.\r\n3.\r\n    Q: Что сказать моему боссу?\r\n    A: Дерьмо случается.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nhttps://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html\r\nPage 3 of 9\n\n➤ Может останавливать процессы антивирусных программ и Windows Defender, чтобы потом\r\nбеспрепятственно шифровать файлы.\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nReadme.README\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: mespinoza980@protonmail.com\r\nBTC:\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nhttps://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html\r\nPage 4 of 9\n\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nVurten Ransomware - апрель 2018\r\nMespinoza Ransomware - октябрь 2019\r\nPysa Ransomware - декабрь 2019 - январь 2020 и позже\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 10 ноября 2019:\r\nDrWeb -\u003e Trojan.Encoder.30075\r\nПост в Твиттере \u003e\u003e\r\nТопик на форуме \u003e\u003e\r\nРасширение: .locked\r\nЗаписка: Readme.README\r\nEmail: alanson_street8@protonmail.com, lambchristoffer@protonmail.com\r\nФайлы: 51.exe %supdater.bat\r\nРезультаты анализов: VT + HA + IA + AR\r\n➤ Содержание записки: \r\nHi Company,\r\nEvery byte on any types of your devices was encrypted.\r\nDon't try to use backups because it were encrypted too.\r\nTo get all your data back contact us:\r\nalanson_street8@protonmail.com\r\nlambchristoffer@protonmail.com\r\nhttps://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html\r\nPage 5 of 9\n\n--------------\r\nFAQ:\r\n1.\r\n   Q: How can I make sure you don't fooling me?\r\n   A: You can send us 2 files(max 2mb).\r\n2.\r\n   Q: What to do to get all data back?\r\n   A: Don't restart the computer, don't move files and write us.\r\n3.\r\n   Q: What to tell my boss?\r\n   A: Shit happens.\r\nВариант от 14 декабря 2019:\r\nDrWeb -\u003e Trojan.Encoder.30386\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .pysa\r\nЭтимология для PYSA: \"Protect Your System Amigo\". \r\nЗаписка: Readme.README\r\nEmail: aireyeric@protonmail.com, ellershaw.kiley@protonmail.com\r\nРезультаты анализов: VT + AR\r\n➤ Содержание записки:\r\nHi Company,\r\nEvery byte on any types of your devices was encrypted.\r\nDon't try to use backups because it were encrypted too.\r\nTo get all your data back contact us:\r\naireyeric@protonmail.com\r\nellershaw.kiley@protonmail.com\r\n--------------\r\nFAQ:\r\n1.\r\nhttps://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html\r\nPage 6 of 9\n\nQ: How can I make sure you don't fooling me?\r\n   A: You can send us 2 files(max 2mb).\r\n2.\r\n   Q: What to do to get all data back?\r\n   A: Don't restart the computer, don't move files and write us.\r\n3.\r\n   Q: What to tell my boss?\r\n   A: Protect Your System Amigo.\r\nВариант от 22 января 2020:\r\nDrWeb -\u003e Trojan.Encoder.30815\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .pysa\r\nЗаписка: Readme.README\r\nEmail: raingemaximo@protonmail.com\r\ngareth.mckie31@protonmail.com\r\nМьютекс: Pysa\r\nРезультаты анализов: VT + VMR\r\nЭтот вариант распространяется с помощью грубых атак на консоли управления и аккаунты Active Directory\r\nи PowerShell-скриптов.\r\nкод Pysa Ransomware Ransom.Win32.LOCKERGOGA.AF, довольно специфичный и короткий по сравнению\r\nс другими вымогателями. \r\nВариант от 18 марта 2020 года:\r\nРасширение: .newversion\r\nФактически обновленный вариант Pysa Ransomware, который был представлен ранее - в конце декабря\r\nhttps://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html\r\nPage 7 of 9\n\n2019 и в январе 2020. \r\nНекоторые подробности см. в статье \u003e\u003e\r\n=== 2021 ===\r\nВариант от 5 января 2021: \r\nDrWeb -\u003e Trojan.Encoder.32290\r\nРасширение: .pysa\r\nЗаписка: Readme.README.txt\r\nДата компиляции: 1 декабря 2020. \r\nРезультаты анализов: VT + HA\r\nС марта 2020 участились атаки вымогателей с использованием Pysa Ransomware на американские и\r\nканадские правительственные учреждения, образовательные учреждения, частные компании и сектор\r\nздравоохранения. По последним данным, вымогатели специально нацелены на высшее образование и\r\nобщеобразовательные школы K-12 (название включает 12 лет начального и среднего образования).\r\nФБР рекомендует не выплачивать выкуп вымогателям, поскольку уступка их требованиям, скорее всего,\r\nпрофинансирует их будущие атаки в этой и других областях.\r\nФБР понимает ущерб, который образовательные учреждения могут понести после таких атак, и призывает\r\nих как можно скорее сообщать об атаках в местное отделение ФБР или в Центр жалоб на преступления в\r\nИнтернете (IC3), независимо от решения платить выкуп или нет.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter: myTweet\r\n ID Ransomware (ID as Mespinoza)\r\n Write-up, Topic of Support\r\n *\r\nhttps://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html\r\nPage 8 of 9\n\nThanks:\r\n Michael Gillespie, quietman7\r\n Andrew Ivanov (author)\r\n GrujaRS\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2019/10/mespinoza-ransomware.html"
	],
	"report_names": [
		"mespinoza-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434938,
	"ts_updated_at": 1775791255,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/2101e27ae7d29834fa5bedaa2f545a13c471c8b7.pdf",
		"text": "https://archive.orkl.eu/2101e27ae7d29834fa5bedaa2f545a13c471c8b7.txt",
		"img": "https://archive.orkl.eu/2101e27ae7d29834fa5bedaa2f545a13c471c8b7.jpg"
	}
}