{ "id": "0e52bc2b-80cd-466a-b146-dc81380473a5", "created_at": "2026-04-06T01:29:07.746588Z", "updated_at": "2026-04-10T03:35:29.040807Z", "deleted_at": null, "sha1_hash": "529360514f211d2c81a5a67c60e54e3c09e07d54", "title": "Moisha", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 197494, "plain_text": "Moisha\r\nArchived: 2026-04-06 00:36:13 UTC\r\nАктивность этих вымогателей была в середине августа 2022 г. Ориентирован на англоязычных\r\nпользователей, может распространяться по всему миру.\r\nК зашифрованным файлам никакое расширение не добавляется. \r\nЗаписка с требованием выкупа называется: !!!READ TO RECOVER YOUR DATA!!! PT_MOISHA.html\r\nhttps://id-ransomware.blogspot.com/2022/08/moisha-ransomware.html\r\nPage 1 of 7\n\nСодержание записки о выкупе:\r\nHi it's me PT_MOISHA  \r\nOur team has penetrated your corporate network!\r\nWhat have we done?\r\n1.We stole documents compromising your company:\r\n_Projects!\r\n__Client bases!\r\n___Postal correspondence!\r\n____Personal data of employees and customers!\r\n2.When we left, we encrypted your computers with all the documents and left you this note!\r\nWe are waiting for you within 72 hours for negotiations, after this time we will gradually begin to destroy YOUR\r\nBusiness!  \r\nWhat do we plan to do with your documents?\r\n1.We will carefully analyze everything that we have stolen from you, we are already doing it!\r\n2.After analyzing the stolen projects, documents, personal data, we will start selling them on the black market!\r\n3.We will organize the leak of your corporate documents, those that we do not need but are very important to you!\r\n4.After complete sorting and analysis of the data, we will start mailing to your customers, having previously\r\nprepared the sitesleaks with your corporate data!\r\n5.We will report your company's hack in the news and newspapers, it will be the collapse of your business!\r\n6.After some time, we will begin to harass and terrorize your customers!\r\nafter some time, your documents, and projects that are not needed by us, will be available for everyone to view\r\nhere!\r\nhttp://moishddxqnpdxpababec6exozpl2yr7idfhdldiz5525ao25bmasxhid.onion\r\nUse TorBrowser\r\n!!!HOW TO AVOID ALL OF THIS!!!\r\nWe have good news for you, everything that happened, happened, but we can return everything! If we agree with\r\nYOU$\r\nhttps://id-ransomware.blogspot.com/2022/08/moisha-ransomware.html\r\nPage 2 of 7\n\nCancel all actions with the sale, leakage and destruction of your reputation and the company as a whole! If we\r\nagree with YOU$\r\nLet's get down to business!! WHAT DO WE WANT? we want MONEY) in exchange for money you get:\r\n1.Decryptor to decrypt your files.\r\n2. We will not sell your designs and documents.\r\n3.We will remove all your files from our servers, this will stop your documents and projects from being leaked.\r\n4. We will not terrorize your customers.\r\n5. We will not report to the news and newspapers that you are not reliable and cannot be trusted.\r\n6.We will tell your administrators how we penetrated your network, this is important for you!\r\nTHE PRICE OF OUR SILENCE: $10,000 usd!\r\nAre you satisfied with our offer? Do you want to lose your reputation? Do you value your employees and partners?\r\nwe're sure you don't want the hype! write to us:\r\nIn the first message, tell the operator your MOISHAID: AF042w38-h547-u295-1318-a081de5*****  \r\nfor quick connection use: moisha_pt@mailfence.com\r\nTo start negotiations and restore data, use the Tox messenger, you can download it here https://tox.chat/  \r\nlaunch the messenger and add our operator as a friend, in the first message tell the operator MOISHAID !!\r\noperator contact:\r\n693E9B36480678C055A135337A72913FA16F704919BCEBDFC647ACB0BCACF160AA408304642B\r\nWe are waiting for you within 72 hours for negotiations, after this time we will gradually begin to destroy YOUR\r\nBusiness!\r\ndo not try to recover files yourself, this will lead to complete data loss!\r\nПеревод записки на русский язык:\r\nПривет, это я PT_MOISHA\r\nНаша команда проникла в вашу корпоративную сеть!\r\nЧто мы наделали?\r\n1. Мы украли документы, компрометирующие вашу компанию:\r\n_Проекты!\r\nhttps://id-ransomware.blogspot.com/2022/08/moisha-ransomware.html\r\nPage 3 of 7\n\n__Клиентские базы!\r\n___Почтовая переписка!\r\n____Персональные данные сотрудников и клиентов!\r\n2. Когда мы ушли, мы зашифровали ваши компьютеры всеми документами и оставили вам эту записку!\r\nЖдем вас в течение 72 часов для переговоров, по истечении этого времени мы постепенно начнем\r\nразрушать ВАШ бизнес!  \r\nЧто мы планируем делать с вашими документами?\r\n1. Мы тщательно проанализируем все, что у вас украли, мы это уже делаем!\r\n2.После анализа украденных проектов, документов, личных данных мы начнем продавать их на черном\r\nрынке!\r\n3. Организуем утечку ваших корпоративных документов, которые нам не нужны, но очень важны для вас!\r\n4.После полной сортировки и анализа данных, мы приступим к рассылке вашим клиентам, предварительно\r\nподготовив сайты утечки с вашими корпоративными данными!\r\n5. Мы сообщим о взломе вашей компании в новостях и газетах, это будет крахом вашего бизнеса!\r\n6. Через какое-то время мы начнем травить и терроризировать ваших клиентов!\r\nчерез какое-то время ваши документы, и не нужные нам проекты, будут доступны для просмотра всем\r\nжелающим здесь!\r\nhttp://moishddxqnpdxpababec6exozpl2yr7idfhdldiz5525ao25bmasxhid.onion\r\nИспользуйте TorBrowser\r\n!!!КАК ВСЕГО ЭТОГО ИЗБЕЖАТЬ!!!\r\nУ нас для вас хорошие новости, все что было, то было, но мы можем все вернуть! Если мы согласны с\r\nВАМИ $\r\nОтмените все действия с продажей, утечкой и уничтожением вашей репутации и компании в целом! Если\r\nмы согласны с ВАМИ $\r\nДавайте приступим к делу!! ЧТО МЫ ХОТИМ? мы хотим ДЕНЬГИ) в обмен на деньги вы получаете:\r\n1. Decryptor для расшифровки ваших файлов.\r\n2. Мы не будем продавать ваши проекты и документы.\r\n3. Мы удалим все ваши файлы с наших серверов, это предотвратит утечку ваших документов и проектов.\r\n4. Мы не будем терроризировать ваших клиентов.\r\nhttps://id-ransomware.blogspot.com/2022/08/moisha-ransomware.html\r\nPage 4 of 7\n\n5. Мы не будем сообщать в новостях и газетах, что вы ненадежны и вам нельзя доверять.\r\n6. Мы расскажем вашим администраторам, как мы проникли в вашу сеть, это важно для вас!\r\nЦЕНА НАШЕГО МОЛЧАНИЯ: 10 000 долларов США !\r\nВы довольны нашим предложением? Вы хотите потерять свою репутацию? Вы цените своих сотрудников и\r\nпартнеров? мы уверены, что вы не хотите шумихи! напишите нам:\r\nВ первом сообщении сообщите оператору свой MOISHAID: AF042w38-h547-u295-1318-a081de52e321  \r\nдля быстрого подключения используйте: moisha_pt@mailfence.com  \r\nДля начала переговоров и восстановления данных используйте мессенджер Tox, скачать его можно здесь\r\nhttps://tox.chat/  \r\nзапустить мессенджер и добавить в друзья нашего оператора, в первом сообщении указать оператора\r\nMOISHAID!!\r\nконтакт оператора:\r\n693E9B36480678C055A135337A72913FA16F704919BCEBDFC647ACB0BCACF160AA408304642B\r\nЖдем вас в течение 72 часов на переговоры, после этого времени мы постепенно начнем разрушать ВАШ\r\nбизнес!\r\nне пытайтесь восстанавливать файлы сами, это приведет к полной потере данных!\r\n✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце\r\nстатьи, в обновлениях. Они могут отличаться от первого варианта. \r\nТехнические детали + IOC\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и\r\nвредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\n✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total\r\nSecurity, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\n!!!READ TO RECOVER YOUR DATA!!! PT_MOISHA.html - название файла с требованием выкупа;\r\nhttps://id-ransomware.blogspot.com/2022/08/moisha-ransomware.html\r\nPage 5 of 7\n\nlsassd.exe  - случайное название вредоносного файла;\r\n\u003crandom\u003e.exe - случайное название вредоносного файла. \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL: hxxx://moishddxqnpdxpababec6exozpl2yr7idfhdldiz5525ao25bmasxhid.onion\r\nTox\r\nмессенджер: 693E9B36480678C055A135337A72913FA16F704919BCEBDFC647ACB0BCACF160AA408304642B\r\nBTC: -\r\nСм. ниже в обновлениях другие адреса и контакты. \r\nMD5: d197883d8745a61fe25aebea85622a65\r\nSHA-1: 5d22d359e7b8dc70ccf5e369fb07f2e0960ef76f\r\nSHA-256: b3ebc327773f5f846deeb1255475644a630c4d0d3b4eda3bbf995a36599c07cf\r\nVhash: 254036655511608c29130080\r\nImphash: f34d5f2d4577ed6d9ceec516c1f5a744\r\nСтепень распространённости: низкая.\r\nИнформация дополняется. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nhttps://id-ransomware.blogspot.com/2022/08/moisha-ransomware.html\r\nPage 6 of 7\n\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nЕщё не было обновлений этого варианта.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n myMessage + Message + Message\r\n Write-up, Topic of Support\r\n ***\r\n Thanks:\r\n Anneries, quietman7, MalwareHunterTeam\r\n Andrew Ivanov (article author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2022/08/moisha-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2022/08/moisha-ransomware.html\r\nPage 7 of 7", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "references": [ "https://id-ransomware.blogspot.com/2022/08/moisha-ransomware.html" ], "report_names": [ "moisha-ransomware.html" ], "threat_actors": [ { "id": "42a6a29d-6b98-4fd6-a742-a45a0306c7b0", "created_at": "2022-10-25T15:50:23.710403Z", "updated_at": "2026-04-10T02:00:05.281246Z", "deleted_at": null, "main_name": "Silence", "aliases": [ "Whisper Spider" ], "source_name": "MITRE:Silence", "tools": [ "Winexe", "SDelete" ], "source_id": "MITRE", "reports": null }, { "id": "d90307b6-14a9-4d0b-9156-89e453d6eb13", "created_at": "2022-10-25T16:07:23.773944Z", "updated_at": "2026-04-10T02:00:04.746188Z", "deleted_at": null, "main_name": "Lead", "aliases": [ "Casper", "TG-3279" ], "source_name": "ETDA:Lead", "tools": [ "Agentemis", "BleDoor", "Cobalt Strike", "CobaltStrike", "RbDoor", "RibDoor", "Winnti", "cobeacon" ], "source_id": "ETDA", "reports": null }, { "id": "eb5915d6-49a0-464d-9e4e-e1e2d3d31bc7", "created_at": "2025-03-29T02:05:20.764715Z", "updated_at": "2026-04-10T02:00:03.851829Z", "deleted_at": null, "main_name": "GOLD WYMAN", "aliases": [ "Silence " ], "source_name": "Secureworks:GOLD WYMAN", "tools": [ "Silence" ], "source_id": "Secureworks", "reports": null }, { "id": "88e53203-891a-46f8-9ced-81d874a271c4", "created_at": "2022-10-25T16:07:24.191982Z", "updated_at": "2026-04-10T02:00:04.895327Z", "deleted_at": null, "main_name": "Silence", "aliases": [ "ATK 86", "Contract Crew", "G0091", "TAG-CR8", "TEMP.TruthTeller", "Whisper Spider" ], "source_name": "ETDA:Silence", "tools": [ "EDA", "EmpireDNSAgent", "Farse", "Ivoke", "Kikothac", "LOLBAS", "LOLBins", "Living off the Land", "Meterpreter", "ProxyBot", "ReconModule", "Silence.Downloader", "TiniMet", "TinyMet", "TrueBot", "xfs-disp.exe" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775438947, "ts_updated_at": 1775792129, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/529360514f211d2c81a5a67c60e54e3c09e07d54.pdf", "text": "https://archive.orkl.eu/529360514f211d2c81a5a67c60e54e3c09e07d54.txt", "img": "https://archive.orkl.eu/529360514f211d2c81a5a67c60e54e3c09e07d54.jpg" } }