# Sfile, Escal

**[id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html](https://id-ransomware.blogspot.com/2020/02/sfile2-ransomware.html)**

## Sfile Ransomware

 Variants: Sfile2, Sfile3, Escal

 Sfile NextGen Ransomware

### (шифровальщик-вымогатель) (первоисточник)
 Translation into English

Этот крипто-вымогатель шифрует данные корпоративной сети и бизнес-пользователей
с помощью SHA-512 + AES-256 + RSA-2048, а затем требует выкуп в # BTC, чтобы
вернуть файлы. Оригинальное название: в записке не указано. На файле написано:
нет данных.

**Обнаружения:**

**DrWeb -> Trojan.Encoder.31603, Trojan.Encoder.31622, Trojan.Encoder.33280**

**BitDefender -> Gen:Variant.MSILPerseus.494, Gen:Variant.Razy.647127**

**ESET-NOD32 -> A Variant Of MSIL/Filecoder.AC, A Variant Of Win32/Filecoder.OBU**

**Kaspersky -> Trojan.Win32.Deshacop.bqu, UDS:DangerousObject.Multi.Generic**

**Symantec -> ML.Attribute.HighConfidence**

**TrendMicro -> TROJ_GEN.R002C0WDL20**

**Tencent -> Win32.Trojan.Filecoder.Pikr**

--
**© Генеалогия: Sfile > Sfile2, Sfile3 >Escal > Sfile NextGen**


-----

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sfile2

**Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в**
обновлениях. Там могут быть различия с первоначальным вариантом.

Активность этого крипто-вымогателя пришлась на первую половину февраля 2020 г.
Ориентирован на англоязычных пользователей, что не мешает распространять его по
всему миру.

Записка с требованием выкупа называется: !!_FILES_ENCRYPTED_.txt

**Содержание записки о выкупе:**
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorithm.
Backups, replications were either encrypted or wiped. Shadow copies also removed.
DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE *.sfile2 files.
This may lead to the impossibility of recovery of the certain files


-----

To get info how to decrypt your files, contact us at:
gtimph@protonmail.com
To confirm our honest intentions we will decrypt few files for free.
Send 2 different files with extension *.sfile2. Files should not contain essential information.
Files should be inside ZIP archive and mailed to us (SUBJ : your domain or network name).
It can be from different computers on your network to be sure we decrypts everything.
The procedure to decrypt the rest is simple:
After payment we will send you decryption software.
Don't waste time, send email with files attached as soon as possible.
It's just a business. We absolutely do not care about you and your deals, except getting
benefits.
If we do not do our work and liabilities - nobody will not cooperate with us. It's not in our
interests.
If you will not cooperate with our service - for us, it's doesn't matter. But you will lose your
time and data, cause just we have the private key.

**Перевод записки на русский язык:**
Ваша сеть взломана.
Все файлы на каждом хосте в сети были зашифрованы с надежным алгоритмом.
Резервные копии, репликации были либо зашифрованы, либо стерты. Теневые копии
также удалены.
НЕ СБРАСЫВАЙТЕ ИЛИ НЕ ВЫКЛЮЧАЙТЕ - файлы могут быть повреждены.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ИЛИ ПЕРЕМЕЩАЙТЕ зашифрованные и readme-файлы
НЕ УДАЛЯЙТЕ файлы *.sfile2.
Это может привести к невозможности восстановления определенных файлов.
Чтобы получить информацию о том, как расшифровать ваши файлы, свяжитесь с нами
по адресу:
gtimph@protonmail.com
Чтобы подтвердить наши честные намерения, мы расшифруем несколько файлов
бесплатно.
Отправьте 2 разных файла с расширением *.sfile2. Файлы не должны содержать
важную информацию.
Файлы должны быть внутри ZIP-архива и отправлены нам по почте (ТЕМА ПИСЬМА:
ваш домен или сетевое имя).
Это может быть с разных компьютеров в вашей сети, чтобы быть уверенным, что мы
все расшифруем.
Процедура расшифровки всего остального проста:
После оплаты мы вышлем вам программу для расшифровки.
Не тратьте время, отправьте email с прикрепленными файлами как можно скорее.
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме
получения выгоды.
Если мы не будем выполнять свою работу и обязательства - никто не будет с нами


-----

сотрудничать. Это не в наших интересах.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения.
Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ.

**Технические детали**

Может распространяться путём взлома через незащищенную конфигурацию RDP, с
помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов,
эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений,
перепакованных и заражённых инсталляторов. См. также "Основные способы
[распространения криптовымогателей" на вводной странице блога.](https://id-ransomware.blogspot.ru/2016/05/blog-post.html)

Нужно всегда использовать [Актуальную антивирусную защиту!!!](https://anti-ransomware.blogspot.com/2019/02/topical-protection.html)
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или
Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3**2-1.**

**Список файловых расширений, подвергающихся шифрованию:**
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных,
фотографии, музыка, видео, файлы образов, архивы и пр.

**Файлы, связанные с этим Ransomware:**
!!_FILES_ENCRYPTED_.txt - название текстового файла
<random>.exe - случайное название вредоносного файла

**Расположения:**
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

**Записи реестра, связанные с этим Ransomware:**
См. ниже результаты анализов.

**Сетевые подключения и связи:**
Email: gtimph@protonmail.com
BTC: См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.


-----

**Результаты анализов:**
Ⓗ **[Hybrid analysis >>](https://www.hybrid-analysis.com/sample/d3bf17ac4db4f367cfed8f40f92670066ca97e98d210b043e4d3b89a4971bbdf/5ea014e23d0f5563b475ad1e)**
𝚺 **[VirusTotal analysis >>](https://www.virustotal.com/gui/file/ba0b2a60ee6b38a3de2ce2f4eb6116dad142e46e32941a132b34be19fa4729b0/detection)**
🐞 **[Intezer analysis >>](https://analyze.intezer.com/#/analyses/8204172a-31a1-4d07-b60e-50fc78bb2da6)**
ᕒ **[ANY.RUN analysis >>](https://app.any.run/tasks/946bd676-799e-40fc-984b-69770977783d/)**
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
� MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

**=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===**

Sfile - ранний вариант
Sfile2 - с начала февраля 2020 (или ранее) по апрель 2020
Sfile3 - c конца февраля 2020
Sfile NextGen, Escal (.<company_name>-<random>) - с начала июня 2020

**=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===**

**Вариант от 28 февраля 2020:**
Расширение: .sfile3
Записка: !!_FILES_ENCRYPTED_.txt
Email: cupermate@protonmail.com, cupermate@elude.in


-----

**Случай с дешифровщиком от 12 января 2020:**
[Пост в Твиттере >>](https://twitter.com/f0wlsec/status/1216118615923220490)

**Вариант от 17-22 апреля 2020:**
[Пост в Твиттере >>](https://twitter.com/Jirehlov/status/1252843738243592192)
[Пост в Твиттере >>](https://twitter.com/fbgwls245/status/1252846921627996160)
Расширение: .sfile2
Записка: !!_FILES_ENCRYPTED_.txt

Email: vinilblind@protonmail.com, blefbeef@elude.in

DNS: files.fm
Вредоносный файл: пункты назначения и грузы.xlsx.exe

[Результаты анализов: VT +](https://www.virustotal.com/gui/file/ba0b2a60ee6b38a3de2ce2f4eb6116dad142e46e32941a132b34be19fa4729b0/detection) **[AR +](https://app.any.run/tasks/946bd676-799e-40fc-984b-69770977783d/)** **[IA +](https://analyze.intezer.com/#/analyses/8204172a-31a1-4d07-b60e-50fc78bb2da6)** **[HA](https://www.hybrid-analysis.com/sample/d3bf17ac4db4f367cfed8f40f92670066ca97e98d210b043e4d3b89a4971bbdf/5ea014e23d0f5563b475ad1e)**

--
Вредоносные файлы: webroot_updater.exe, ransomware.exe

[Результаты анализов: VT /](https://www.virustotal.com/gui/file/787bed520fab5ff5ce4ac4dfbf7692d32d9b2a3b7c11195d128164bfc0e507ad/detection) **[VT +](https://www.virustotal.com/gui/file/d3bf17ac4db4f367cfed8f40f92670066ca97e98d210b043e4d3b89a4971bbdf/detection)** **[VMR](https://www.vmray.com/analyses/d3bf17ac4db4/report/overview.html)**

**Вариант от 8 мая 2020:**

[Пост в Твиттере >>](https://twitter.com/VK_Intel/status/1258790610317819904)


-----

**Вариант от 10 июня 2020:**
[Пост в Твиттере >>](https://twitter.com/raby_mr/status/1271369609149419520)
[Мой пост в Твиттере >>](https://twitter.com/Amigo_A_/status/1271413150689177600)
[Пост в Твиттере >> (еще несколько образцов от JAMESWT)](https://twitter.com/JAMESWT_MHT/status/1271417826738405377)
Расширение (шаблон): .<company_name>-<random>
Расширение (пример): .ESCAL-p9yqoly
**ESCAL - название пострадавшей компании**
Записка: !!_FILES_ENCRYPTED_.txt
Файл: ransomware.exe
Путь проекта: D:\code\ransomware_win\bin\ransomware.pdb
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/99f3f126c0da424357b510e2b1bb7b80b0a83e77802e9eeaec5119cb26b13231/detection) **[IA +](https://analyze.intezer.com/#/analyses/20cada5c-d462-4012-bc27-3d3eca732075)** **[TG +](https://tria.ge/reports/200611-s5w8bweq9a/behavioral1)** **[VMR](https://www.vmray.com/analyses/99f3f126c0da/report/files.html)**
Похож на один из вариантов от 22 апреля (см. выше).
➤ Обнаружения:
DrWeb -> Trojan.Encoder.31622
BitDefender -> Gen:Variant.Razy.647127
ESET-NOD32 -> A Variant Of Win32/Filecoder.OBU
--
➤ Содержание записки:

Your network has been penetrated.

All files on each host in the network have been encrypted with a strong algorithm.

Backups, replications were either encrypted or wiped. Shadow copies also removed.

DO NOT RESET OR SHUTDOWN - files may be damaged.

DO NOT RENAME OR MOVE the encrypted and readme files.

DO NOT DELETE *.ESCAL-p9yqoly files.

This may lead to the impossibility of recovery of the certain files.

To get info how to decrypt your files, contact us at:

imperial755@protonmail.com

imperial@mailfence.com

To confirm our honest intentions we will decrypt few files for free.

Send 2 different files with extension *.ESCAL-p9yqoly. Files should not contain essential
information.


-----

Files should be inside ZIP archive and mailed to us (SUBJ : your domain or network name).
It can be from different computers on your network to be sure we decrypts everything.
The procedure to decrypt the rest is simple:
After payment we will send you decryption software.
Don't waste time, send email with files attached as soon as possible.
if you contact the police, they completely BLOCK any activity (mainly financial) of the
company until the end of the proceedings on their part.
It's just a business. We absolutely do not care about you and your deals, except getting
benefits.
If we do not do our work and liabilities - nobody will not cooperate with us. It's not in our
interests.
If you will not cooperate with our service - for us, it's doesn't matter. But you will lose your
time and data, cause just we have the private key.

**Вариант от 18 августа 2020:**
[Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1296856836944076802)
Расширение (шаблон): .<company_name>-<random>
Расширение (пример): .morseop-7j9wrqr
**MORSE O.P. - название пострадавшей компании**
Записка: how restore hurt documents.inf
Email: greemsy.jj@protonmail.ch, jj.greemsy@mailfence.com
Файл: SystemScheduleHost.exe
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/feddee093d72838ac1f13ea9bbfc0473e2f3df1495432d6f95d6fe8ddf7ff%20%2009b/detection) **[IA +](https://analyze.intezer.com/analyses/baadfa64-89af-44ec-98d7-4a4226808033)** **[AR](https://app.any.run/tasks/6f3006b8-d9ff-449e-b6b4-186a5f92b915/)**

**Вариант от 23 ноября 2020:**
[Топик на форуме >>](https://www.bleepingcomputer.com/forums/t/735922/reference-sha1-1f09691c4cea058c7d24c831eced65c7d1dc55f3/)
Расширение (шаблон): .<company_name>-<random>
Расширение (пример): .BRN-qfp7mkc


-----

Записка: readme_to BRN.inf
Email: johny2recoveryusa@protonmail.com, johny3@mailfence.com
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/97d679f364b1d0c6e3896574f1338801a0d707c137e4d220d2c974ae40fbe708/detection) **[AR +](https://app.any.run/tasks/6a2382a0-c18f-456c-a162-e0d3f568fb05/)** **[IA](https://analyze.intezer.com/analyses/f0354923-7c0b-4d6c-8ef2-f1f8854f0659)**

➤ Содержание записки:
Hello!
Your network is penetrated.
Forced shutdown of devices can lead to the loss of all data. Do not forcibly disconnect
storage volumes from hosts,
interrupt process and restart. Damaged information cannot be recovered.
All data is properly protected against unauthorized access by steady encryption technology.
We have downloaded essential data of company:
Personal data of employees.
HR files.
Customer records. Database backups (Syspro\3dx\etc), CAD files for last few years.
Marketing data, current projects, .
Financial, accounting, payroll data.
In case if you refuse to cooperate with us, all essential data will be published at forums. Full
details and proofs will be
provided in case of contacting us by following emails.
We can help you to quickly recover all your files.
We will explain what kind of vulnerability was used to hack your network.
If you will not cooperate with us, you will never know how your network was compromised.
We guarantee this will happen again.
It's just a business.
johny2recoveryusa@protonmail.com
johny3@mailfence.com
We can decrypt 2 small files (up to 1MB) for free. Send files by email.
Register new email account at secure mail service, to be sure that outgoing email not
blocked by spam filter.
WARNING!


-----

Don t report to police. They will suspend financial activity of company and negotiation
process.

**=== 2021 ===**

**Вариант от 13 февраля 2021:**
Штамп даты: 30 ноября 2020.
[Сообщение >>](https://twitter.com/Kangxiaopao/status/1362375650015776771)
Расширение (шаблон): .<company_name>-<random>
Расширение (пример): .LAZPARKING-bwxwvhui-w
Пострадавшая компания: LAZ Parking (США)
Email: jorge.smith@mailfence.com
finbdodscokpd@privatemail.com
Записка: !!LAZPARKING-MESSAGE.txt

[Результаты анализов: VT +](https://www.virustotal.com/gui/file/4576fd0e13e13c9d490bd84ff83d2f3b602272cdea5f6c54c74f75d067ac5505/detection) **[IA](https://analyze.intezer.com/analyses/496da755-6f66-49e8-8ec6-8ae173b1f516)**
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33280
Avira (no cloud) -> TR/FileCoder.snnre
BitDefender -> Gen:Variant.Razy.647127
ESET-NOD32 -> A Variant Of Win32/Filecoder.OBU
Kaspersky -> Trojan-Ransom.Win32.Crypmodng.eb
Malwarebytes -> Ransom.Escal
Microsoft -> Trojan:Win32/Glupteba!ml
Qihoo-360 -> HEUR/QVM20.1.4487.Malware.Gen
Rising -> Ransom.Escal!1.CA6C (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Lnee
TrendMicro -> Ransom.Win32.ESCAL.SMRA0C

**Вариант от 19 февраля 2021:**


-----

[Сообщение >>](https://twitter.com/Kangxiaopao/status/1362602750685552641)
Расширение: .cityzone-nq7wcqgl
Пострадавшая компания: CityZone
Записка: how_decipher hurt data.inf
Email: mallyrecovery@protonmail.ch, mally@mailfence.com
[Результаты анализов: VT](https://www.virustotal.com/gui/file/26b7c7079cfea22cd9335b788db32453a727c81aec313a3637391a9763434f0a/detection)

**Вариант от 18 марта 2021:**
[Сообщение >>](https://twitter.com/Kangxiaopao/status/1372840741802635265)
Расширение (шаблон): .<company_name>-<random>
Расширение (пример): .Technomous-zbtrqyd
Пострадавший: Technomous
Email: recoverfiles@ctemplar.com
recoverfilesquickly@ctemplar.com
primethetime@protonmail.com
[Результаты анализов: VT](https://www.virustotal.com/gui/file/8396728b5267a9ff823db2ab600e3ef1d131fc36596d24747ac494e8cdfe877c/detection)

*** пропущенные варианты ***

**Вариант от 25 октября 2021:**
[Сообщение >>](https://twitter.com/fbgwls245/status/1453995061310410752)
Расширение (шаблон): .<company_name>-<random>
Расширение (пример): .fmiint-sqnsxris
Пострадавший: Fmiint.com
Записка: message_to fmiint.log

➤ Содержание записки:
Hello!
Your network is penetrated.


-----

Forced shutdown of devices can lead to the loss of all data. Do not forcibly disconnect
storage volumes from hosts,
don't interrupt process. Damaged information cannot be recovered.
All data is properly protected against unauthorized access by steady encryption technology.
First of all we have uploaded more then 100 GB archived data from your file server and SQL
server
Example of data:

- Accounting

- Finance

- Personal Data

- Banking data

- Audit

- Management

- Letters

- Confidential files
And more other...
In case if you refuse to cooperate with us, all essential data will be sold or published at
forums.
Full details and proofs will be provided in case of contacting us by following emails.
ssdfsdfsdf@mailinfence.com
ssdfsdfsdf@protonmail.com
It's just a business.
We can help you to quickly recover all your files.
We will explain what kind of vulnerability was used to hack your network.
If you will not cooperate with us, you will never know how your network was compromised.
We guarantee this will happen again.
We can decrypt 2 small files (up to 1MB) for free. Send files by email.
Register new email account at secure mail service like mailfence, protonmail to be sure that
outgoing email not blocked by spam filter.
Don't use gmail!
WARNING!
Don't upload this note or binaries to any services before contacting with us. Otherwise our
emails will be locked and it will take more time to contact with us.
Don't report to police. They will suspend financial activity of company and negotiation
process.
--Файл проекта: D:\fake.pdb
Результаты анализов: **[VT +](https://www.virustotal.com/gui/file/ed1468708546ef5f94f9af204ebd2e0093deb9839704fa17dbf1328f037f86bd)** **[IA +](https://analyze.intezer.com/analyses/b722a3ee-e06f-48ea-b232-cf5b64b72f9b)** **[TG](https://tria.ge/211029-jnellahfbl/behavioral1)**

**Вариант от 25 октября 2021:**
[Сообщение >>](https://twitter.com/fbgwls245/status/1463820795113660419)
Расширение (шаблон): .<company_name>-<random>
Расширение (пример): .intercobros-9k7syfus


-----

Файл проекта: D:\fake.pdb
[Результаты анализов: VT](https://www.virustotal.com/gui/file/ade5780b02f010a91f0684089100035366af865caba9c6beb66a271ccc89f2ae)
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34581
BitDefender -> Gen:Variant.Razy.647127
ESET-NOD32 -> A Variant Of Win32/Filecoder.SFile.A
Kaspersky -> Trojan-Ransom.Win32.Sfile.n
Malwarebytes -> Malware.AI.491590415
Microsoft -> Ransom:Win32/IntcobCrypt.PA!MTB
Rising -> Ransom.Sfile!1.DB2E (CLASSIC)
Symantec -> Downloader
Tencent -> Win32.Trojan.Filecoder.Wskl
TrendMicro -> Ransom_Sfile.R002C0PKP21

**Вариант от 21-25 декабря 2022:**
[Сообщение >>](https://twitter.com/ESETresearch/status/1473282562420269056)
Вариант для платформы FreeBSD, нацеленный на компанию в Китае. Использует
библиотеку Mbed TLS, алгоритмы RSA-2048 и AES-256 для шифрования файлов.
Шифрует файлы со следующими расширениями.


-----

[Результаты анализов: VT +](https://www.virustotal.com/gui/file/49473adedc4ee9b1252f120ad8a69e165dc62eabfa794370408ae055ec65db9d/detection) **[IA](https://analyze.intezer.com/files/49473adedc4ee9b1252f120ad8a69e165dc62eabfa794370408ae055ec65db9d?vt)**
➤ Обнаружения:
DrWeb -> Linux.Encoder.123
BitDefender -> Trojan.Linux.Generic.225960
ESET-NOD32 -> FreeBSD/Filecoder.SFile.A
Kaspersky -> HEUR:Trojan-Ransom.Linux.Agent.gen
Microsoft -> Ransom:Linux/Filecoder.C!MTB
Rising -> Ransom.SFile/Linux!1.DB2D (CLOUD)
Symantec -> Trojan.Gen.NPE
Tencent -> Linux.Trojan.Agent.Wpsy
TrendMicro -> Trojan.Linux.ZYX.USELVLM21
**=== 2022 ===**

**Вариант от 4 января 2022:**
[Сообщение >>](https://twitter.com/fbgwls245/status/1478956668797190146)
Расширение: .laposada-bfkruyz
Пострадавший: La Posada
Записка: !!laposada_howtodecipher.inf
Email: rickowens@onionmail.org, rickowens@mailfence.com
Используется: BCryptGenRandom
Файл проекта: D:\fake.pdb
Файл: ransomware.exe
Результаты нализов: **[VT +](https://www.virustotal.com/gui/file/6a7cef95a501cce16dce6f5a645fc97c4bcbb568c83dde5a7f2e4a0d7555dd98)** **[IA](https://analyze.intezer.com/files/6a7cef95a501cce16dce6f5a645fc97c4bcbb568c83dde5a7f2e4a0d7555dd98?vt)**
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34858
ESET-NOD32 -> A Variant Of Win32/Filecoder.SFile.A
Kaspersky -> Trojan-Ransom.Win32.Sfile.q
Rising -> Ransom.Sfile!1.DB2E (CLASSIC)
TrendMicro -> Ransom_Agent.R002C0PA422


-----

**Вариант от 8 января 2022:**
[Сообщение >>](https://twitter.com/fbgwls245/status/1480006045523386368)
Расширение: .AFR-6fyvilv
Пострадавший: AFR
Записка: readme_to AFR.log
Email: john.blues3i7456@protonmail.com, mario.jolly@mailfence.com
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/90dac841cde5f2f25e43328d70dbcf77016cfe6b2779ff6ea2acc3b759ebca48/detection) **[IA](https://analyze.intezer.com/analyses/dc2e7f9f-176c-4bca-9778-87f402e0d509)**
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34873
BitDefender -> Gen:Variant.Razy.647127
ESET-NOD32 -> A Variant Of Win32/Filecoder.SFile.A
Kaspersky -> Trojan-Ransom.Win32.Sfile.r
Malwarebytes -> Ransom.FleCryptor
Microsoft -> Ransom:Win32/LaposadaCrypt.PAA!MTB
Rising -> Ransom.Sfile!1.DB2E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Wozq
TrendMicro -> Ransom_LaposadaCrypt.R002C0DA822


-----

**Вариант от 31 января 2022:**
[Сообщение >>](https://twitter.com/fbgwls245/status/1488494954066235393)
Расширение: .nissenvelten-sjj3hhut
Email: niss.brook@onionmail.org, niss.brandon@mailfence.com
[Результаты анализов: VT](https://www.virustotal.com/gui/file/c306254b44d825e008babbafbe7b07e20de638045f1089f2405bf24e7ce9c0dc/detection)

**=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===**
```
        Thanks: 
 Andrew Ivanov (author)
 Jirehlov, dnwls0719
 Ravi, JAMESWT, Michael Gillespie
 to the victims who sent the samples

```
[© Amigo-A (Andrew Ivanov): All blog articles. Contact.](https://id-ransomware.blogspot.com/p/contact.html)


-----