{
	"id": "6e11dfd4-b30f-4b6a-98d0-44d643e68ae8",
	"created_at": "2026-04-10T03:20:48.045695Z",
	"updated_at": "2026-04-10T03:22:18.426098Z",
	"deleted_at": null,
	"sha1_hash": "3f77a26815ee5574e624245b60770262fab6c95c",
	"title": "Sekhmet",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 823797,
	"plain_text": "Sekhmet\r\nArchived: 2026-04-10 03:03:36 UTC\r\nSekhmet Ransomware\r\nSekhmet Doxware\r\n(шифровальщик-вымогатель, публикатор) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью RSA-2048 +\r\nChaCha, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не\r\nуказано. Хакеры-вымогатели: Twisted Spider Extortion Group. Среди вымогателей есть граждане Украины,\r\nпо другим данным это международная хакерская группа. \r\nВымогатели, распространяющие Sekhmet, угрожают опубликовать украденные данные с целью усиления\r\nдавления на жертву (отсюда дополнительное название — публикатор). Как известно из других\r\nRansomware, для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов.\r\nОб этих акциях вымогателей сообщалось в СМИ. На момент публикации статьи, не было известно о\r\nпубликациях украденных данных, вымогатели только угрожали, что данные будут опубликованы на их\r\nспециальном сайте. Потом они создали специальный сайт \"Leaks leaks and leaks\" для таких публикаций. \r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31322, Trojan.Encoder.32301\r\nBitDefender -\u003e Trojan.GenericKD.42872102, Gen:Variant.Jatif.1394\r\nESET-NOD32 -\u003e A Variant Of Generik.GYISLCY, A Variant Of Win32/Kryptik.HEDE\r\nMalwarebytes -\u003e Trojan.MalPack, Ransom.Sekhmet\r\nRising -\u003e Ransom.Cryptor!8.10A9 (CLOUD)\r\nSymantec -\u003e Ransom.Gen\r\nTrendMicro -\u003e Ransom.Win32.SEKHMET.A, TROJ_GEN.R002C0RH720\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: Maze \u003e Sekhmet \u003e Egregor\r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 1 of 13\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляются разные случайные расширения. например:\r\n.cSlFg\r\n.RXfbY\r\n.jHXeqt\r\n.DtiM\r\n.wlxVM\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на середину марта 2020 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: RECOVER-FILES.txt\r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 2 of 13\n\nСодержание записки о выкупе:\r\n--------------\r\n| Attention! |\r\n--------------\r\nYour company network has been hacked and breached. We downloaded confidential and private data.\r\nIn case of not contacting us in 3 business days this data will be published on a special website available for public\r\nview.\r\nAlso we had executed a special software that turned files, databases and other important data in your network into\r\nan encrypted state using RSA-2048 and ChaCha algorithms.\r\nA special key is required to decrypt and restore these files. Only we have this key and only we can give it to you\r\nwith a reliable decryption software.\r\n---------------------------------------\r\n| How to contact us and be safe again |\r\n---------------------------------------\r\nThe only method to restore your files and be safe from data leakage is to purchase a private key which is unique\r\nfor you and securely stored on our servers.\r\nAfter the payment we provide you with decryption software that will decrypt all your files, also we remove the\r\ndownloaded data from your network and never post any information about you.\r\nThere are 2 ways to directly contact us:\r\n1) Using hidden TOR network:\r\n   a) Download a special TOR browser: https://www.torproject.org/ \r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 3 of 13\n\nb) Install the TOR browser\r\n   c) Open our website in the TOR browser: xxxx://o3n4bhhtybbtwqqs.onion/C4BA3647FD0D6918\r\n   d) Follow the instructions on this page.\r\n2) If you have any problems connecting or using TOR network\r\n   a) Open our website: xxxxs://sekhmet.top/C4BA3647FD0D6918\r\n   b) Follow the instructions on this page\r\nOn this web site, you will get instructions on how to make a free decryption test and how to pay.\r\nAlso it has a live chat with our operators and support team.\r\n-----------------------\r\n|Questions and answers|\r\n-----------------------\r\nWe understand you may have questions, so we provide here answers to the frequently asked questions.\r\n====\r\nQ: What about decryption guarantees?\r\nA: You have a FREE opportunity to test a service by instantly decrypting for free 3 files from every system in\r\nyour network.\r\nIf you have any problems our friendly support team is always here to assist you in a live chat.\r\n====\r\n====\r\nQ: How can we be sure that after the payment data is removed and not published or used in any nefarious ways?\r\nA: We can assure you, downloaded data will be securely removed using DoD 5220.22-M wiping standart.\r\nWe are not interested in keeping this data as we do not gain any profit from it. This data is used only to leverage\r\nyou to make a payment and nothing more.\r\nOn the market the data itself are relatively useless and cheap.\r\nAlso we perfectly understand that using or publishing this data after the payment will compromise our reliable\r\nbusiness operations and we are not interested in it.\r\n====\r\n====\r\nQ: How did you get into the network?\r\nA: Detailed report on how we did it and how to fix your vulnerabilities can be provided by request after the\r\npayment.\r\n====\r\n--------------------------------------------------------------------------------------\r\nThis is techinal information we need to identify you correctly and give decryption key to you, do not redact!\r\n---SEKHMET---\r\n51VkH7oJKf5e6gh+7BW2KgfGSr/yibdEps7Bea72oGS***BPAFUAUAAAAA==  [всего 2504 знака]\r\n---SEKHMET---\r\nПеревод записки на русский язык:\r\n--------------\r\n| Внимание! |\r\n--------------\r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 4 of 13\n\nСеть вашей компании была взломана и нарушена. Мы загрузили конфиденциальные и личные данные.\r\nВ случае, если нет контакта с нами в течение 3 рабочих дней, эти данные будут опубликованы на\r\nспециальном веб-сайте, доступном для всеобщего обозрения.\r\nТакже мы запустили специальную программу, которая преобразовала файлы, базы данных и другие\r\nважные данные в вашей сети в зашифрованное состояние с использованием алгоритмов RSA-2048 и\r\nChaCha.\r\nСпециальный ключ нужен для расшифровки и восстановления этих файлов. Только у нас есть этот ключ, и\r\nтолько мы можем дать его вам с надежной программой для расшифровки.\r\n---------------------------------------\r\n| Как с нами связаться и снова быть в безопасности |\r\n---------------------------------------\r\nЕдинственный способ восстановить ваши файлы и обезопасить себя от утечки данных - это приобрести\r\nзакрытый ключ, который является уникальным для вас и надежно хранится на наших серверах.\r\nПосле оплаты мы предоставляем вам программу для расшифровки, которая расшифрует все ваши файлы, а\r\nтакже мы удалим загруженные данные из вашей сети и никогда не публикуем информацию о вас.\r\nЕсть два способа связаться с нами напрямую:\r\n1) Использование скрытой сети TOR:\r\n   а) Загрузите специальный браузер TOR: https://www.torproject.org/\r\n   б) Установите браузер TOR\r\n   c) Откройте наш веб-сайт в браузере TOR: xxxx://o3n4bhhtybbtwqqs.onion/C4BA3647FD0D6918\r\n   г) Следуйте инструкциям на этой странице.\r\n2) Если у вас возникли проблемы с подключением или использованием сети TOR\r\n   а) Откройте наш веб-сайт: xxxxs://sekhmet.top/C4BA3647FD0D6918\r\n   б) Следуйте инструкциям на этой странице\r\nНа этом веб-сайте вы получите инструкции о том, как сделать бесплатную тест-расшифровку и как\r\nоплатить.\r\nТакже есть живой чат с нашими операторами и службой поддержки.\r\n-----------------------\r\n| Вопросы и ответы |\r\n-----------------------\r\nМы понимаем, что у вас могут возникнуть вопросы, поэтому мы даем здесь ответы на часто задаваемые\r\nвопросы.\r\n====\r\nQ: Как насчет гарантий дешифрования?\r\nО: У вас есть БЕСПЛАТНАЯ возможность протестировать сервис, мгновенно расшифровав бесплатно 3\r\nфайла из каждой системы в вашей сети.\r\nЕсли у вас есть какие-либо проблемы, наша дружная команда поддержки всегда здесь, чтобы помочь вам в\r\nчате.\r\n====\r\n====\r\nВ: Как мы можем быть уверены, что после того, как платежные данные будут удалены, а не опубликованы\r\nили использованы какими-либо гнусными способами?\r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 5 of 13\n\nA: Мы можем заверить вас, загруженные данные будут надежно удалены с использованием стандарта\r\nочистки DoD 5220.22-M.\r\nМы не заинтересованы в сохранении этих данных, поскольку мы не получаем никакой прибыли от них.\r\nЭти данные используются только для того, чтобы вы могли совершить платеж и ничего более.\r\nНа рынке сами данные относительно бесполезны и дешевы.\r\nТакже мы прекрасно понимаем, что использование или публикация этих данных после оплаты поставит\r\nпод угрозу наши надежные деловые операции, и мы не заинтересованы в них.\r\n====\r\n====\r\nQ: Как вы попали в сеть?\r\nA: Подробный отчет о том, как мы это сделали и как исправить ваши уязвимости, может быть\r\nпредоставлен по запросу после оплаты.\r\n====\r\n-------------------------------------------------- ------------------------------------\r\nЭто техническая информация, которая нам нужна, чтобы правильно идентифицировать вас и дать вам\r\nключ расшифровки, не редактируйте!\r\n---SEKHMET---\r\n51VkH7oJKf5e6gh+7BW2KgfGSr/yibdEps7Bea72oGS***BPAFUAUAAAAA==  [всего 2504 знака]\r\n---SEKHMET---\r\nСодержание официального сайта вымогателей:\r\nWAKE UP SAMURAI!\r\nIf you’ve come to this page, don’t waste your time searching for how to solve this problem and do not try to\r\nentrust the solution to third parties.\r\nUpload the ransom note RECOVER-FILES.txt and We will tell you how to quickly and reliably recover all your\r\nfiles.\r\nПеревод текста на русский язык:\r\nПроснись Самурай!\r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 6 of 13\n\nЕсли вы зашли на эту страницу, не тратьте свое время на поиски решения этой проблемы и не пытайтесь\r\nдоверить решение третьим лицам.\r\nЗагрузите записку с требованием выкупа RECOVER-FILES.txt, и мы расскажем вам, как быстро и надежно\r\nвосстановить все ваши файлы.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Для обеспечения запуска используется Regsvr32 — это служебная программа командной строки для\r\nрегистрации и отмены регистрации элементов управления OLE, например ActiveX и библиотеки DLL в\r\nреестре Windows.\r\nЗапуск  обеспечивается с помощью следующей команды:\r\n\"C:\\Windows\\System32\\regsvr32.exe\" /s sekhmet.dll.exe\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nRECOVER-FILES.txt - название файла с требованием выкупа\r\nsekhmet.dll.{exe} - исполняемый файл Ransomware\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nG:\\aaaa\\bbbb\\cccc\\dddd\\eeee.pdb\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 7 of 13\n\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nURL: hxxxs://sekhmet.top/\r\nURL: hxxxs://sekhmet.top/C4BA3647FD0D6918\r\n   \r\nTor-URL: hxxx://o3n4bhhtybbtwqqs.onion/C4BA3647FD0D6918\r\n   \r\nEmail: - \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 8 of 13\n\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nMaze Ransomware - май 2019 - ноябрь 2020\r\nSekhmet Ransomware - март 2020 - октябрь 2020\r\nEgregor Ransomware -  сентябрь 2020 - февраль 2021\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 24 марта 2020:\r\nВымогатели создали сайт \"Leaks leaks and leaks\" для публикаций украденных данных тех компаний,\r\nкоторые отказались платить им выкуп. \r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 9 of 13\n\nОбновление от 7-9 августа 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширения: .xgVWib, .UQgH\r\nЗаписка: RECOVER-FILES.txt\r\nTor-URL: hxxx://o3n4bhhtybbtwqqs.onion/C4BA3647FD0D6918\r\nURL: hxxxs://sekhmet.top/C4BA3647FD0D6918\r\nФайл: KB083486A.msi - VT + IA + AR\r\nФайл: patch_may13869.dll - VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.32301\r\nBitDefender -\u003e Gen:Variant.Jatif.1394\r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 10 of 13\n\nESET-NOD32 -\u003e A Variant Of Win32/Kryptik.HEDE\r\nMalwarebytes -\u003e Ransom.Sekhmet\r\nKaspersky -\u003e Trojan-Ransom.Win32.Cryptor.dox\r\nTrendMicro -\u003e TROJ_GEN.R002C0RH720\r\n   \r\n➤ Содержание сайта (срок уплаты выкупа истек):\r\nSEKHMET\r\nPrice for recovering your files should be negotiated\r\nThat means we will provide you the amount after consensus is reached.\r\nLet's start a constructive dialogue.\r\nLooks like you were banned from the chat.\r\nIt is the time to reconsider your position and start again.\r\nCheck this page later, maybe we will unban you.\r\n---\r\nBUY BITCOINS\r\nBank Account / Transfer:\r\nBitfinex, Coinmama, Korbit, Coinfloor, Coinfinity, Coinbase, BitPanda, Paymium, Bity, CoinCorner,\r\nHappyCoins, Poloniex, BTCDirect\r\nCredit / Debit Card:\r\nBitPanda, CEX.io, Coinhouse, Coinmama, Safello, Huobi, Bittylicious, BTCDirect, CoinCafe\r\n---\r\nDECRYPTS LEFT: 0\r\nMaximum file size is 2 MB ( megabytes ).\r\nWe are decrypting only image files (bmp, jpg, gif, png).\r\nNo more decrypts left.\r\nDownload decrypted files here\r\nError incorrect magic: 2139205805 file is probably not encrypted or encrypted with other software\r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 11 of 13\n\nError incorrect magic: 1212537294 file is probably not encrypted or encrypted with other software\r\nError incorrect magic: 2139205805 file is probably not encrypted or encrypted with other software\r\nОбновление от 29 октября 2020:\r\nСтатья о закрытии вымогательского проекта \"Maze Ransomware\" и переход операторов вымогателей на\r\n\"Egregor Ransomware\". \r\nВымогатели также подтверждили, что Maze, Sekhmet, Egregor являются их вымогательскими\r\nпрограммами. \r\nБолее того, пострадавшие от Egregor после уплаты выкупа получают Sekhmet Decryptor.  \r\n=== 2022 ===\r\nНовость от 9 февраля 2022\r\nПредставитель группы вымогателей выложил в общий доступ на форуме BleepingComputer ключи\r\nдешифрования для пострадавших от Maze, Sekhmet, Egregor Ransomware.   \r\nСсылка на скриншоте скрыта, чтобы не дать возможность использовать вредоносные файлы инфектора\r\nm0yv, которые были в архиве. \r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 12 of 13\n\nВнимание! \r\nТеперь есть дешифровщик \u003e\u003e\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as Sekhmet)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n dnwls0719, Michael Gillespie\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html\r\nPage 13 of 13",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/03/sekhmet-ransomware.html"
	],
	"report_names": [
		"sekhmet-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775791248,
	"ts_updated_at": 1775791338,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3f77a26815ee5574e624245b60770262fab6c95c.pdf",
		"text": "https://archive.orkl.eu/3f77a26815ee5574e624245b60770262fab6c95c.txt",
		"img": "https://archive.orkl.eu/3f77a26815ee5574e624245b60770262fab6c95c.jpg"
	}
}