{
	"id": "5e30d730-c4e3-4b7f-be1a-6bcaad0d4af1",
	"created_at": "2026-04-06T00:08:48.164032Z",
	"updated_at": "2026-04-10T03:21:38.673392Z",
	"deleted_at": null,
	"sha1_hash": "6739eb914991e31c783bd9ead73e44ab991a5bae",
	"title": "Шифровальщики-вымогатели The Digest \"Crypto-Ransomware\"",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 536103,
	"plain_text": "Шифровальщики-вымогатели The Digest \"Crypto-Ransomware\"\r\nArchived: 2026-04-05 13:43:32 UTC\r\nKillada\r\nKillada Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha20-\r\nGNACH, а затем требует выкуп в 0.1111 BTC, чтобы вернуть файлы. Оригинальное название: Killada\r\nRansomware. На файле написано: killada.exe.\r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.44675\r\nBitDefender -\u003e Trojan.GenericKD.79799674\r\nESET-NOD32 -\u003e Win64/Filecoder.ALU Trojan\r\nKaspersky -\u003e Trojan-Ransom.Win32.Encoder.agut\r\nMalwarebytes -\u003e Ransom.FileCryptor\r\nMicrosoft -\u003e Trojan:Win32/Wacatac.B!ml\r\nRising -\u003e Stealer.Greedy!8.133BA (CLOUD)\r\nTencent -\u003e Win32.Trojan-Ransom.Encoder.Nqil\r\nTrendMicro -\u003e TROJ_FRS.VSNTCV26\r\n---\r\n© Генеалогия: родство выясняется \u003e\u003e Killada \r\nСайт \"ID Ransomware\" Killada пока не идентифицирует. \r\nИнформация для идентификации\r\nhttps://id-ransomware.blogspot.com\r\nPage 1 of 27\n\nАктивность этого крипто-вымогателя была в конце марта 2026 г. Ориентирован на англоязычных\r\nпользователей, может распространяться по всему миру.\r\nК зашифрованным файлам добавляется расширение: *нет данных*.\r\nЗаписка с требованием выкупа называется: KILLADA_README.txt\r\n✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в\r\nконце статьи, в обновлениях. Они могут отличаться от первого варианта. \r\nТехнические детали + IOC\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\n✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или\r\nhttps://id-ransomware.blogspot.com\r\nPage 2 of 27\n\nTotal Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nKILLADA_README.txt - название файла с требованием выкупа;\r\nkillada.exe - название вредоносного файла. \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL: killadaayyuzdshwskrnsvh5owzuwa4yj7gs2vbhkcjpfslrplfgwwqd[.]onion\r\nkilladaxczzw3wnuaxkygib67lk2qkgnki4gyjqoo76vh53egitoyaqd[.]onion\r\nkilladax36r6bbb3md67ekcfv5yasdlnoaklyag66ot4tefa32ywgnyd[.]onion\r\nkilladahaynpqrkppe2m2tgindbruaeiefzr7pm3cp47tzohhhnogwad[.]onion\r\nkillada7qgdpvzpezjxaa64b47bz47hzbn6oql5aa4lppzzwymnukqqd[.]onion\r\nkillada5556ahpb4cwmatv5qpzku2qmdlwawshtykpq37cvfva7zjhid[.]onion\r\nEmail: -\r\nBTC: -\r\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов: \r\nIOC: VT, HA, IA, TG, AR, VMR, JSB\r\nMD5: f444568cedf788ef157356fea05bcc49\r\nSHA-1: d449bd9a79062729e9a60064ed32ca8669d4a525\r\nhttps://id-ransomware.blogspot.com\r\nPage 3 of 27\n\nSHA-256: 75c4d15bddcd401088d1a9f0a3364382482ea0689427526a5d0919b375a9779c\r\nVhash: 055066655d155d055095zb00793z5hz6fz\r\nImphash: 53b37c3b9f37d7f06071a7dd9d5e5333\r\nСтепень распространённости: низкая.\r\nИнформация дополняется. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновлений не было или не добавлены.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + Message\r\n Write-up, Topic of Support\r\n ***\r\nhttps://id-ransomware.blogspot.com\r\nPage 4 of 27\n\nThanks:\r\n Bitshadow\r\n Andrew Ivanov (article author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nExitium\r\nExitium Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а\r\nзатем требует выкуп, чтобы вернуть файлы. Оригинальное название: Exitium Ransomware. На файле\r\nнаписано: нет данных.\r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.44626 / same\r\nBitDefender -\u003e Gen:Heur.Bodegun.23 / same\r\nESET-NOD32 -\u003e Win64/Agent_AGen.EMB Trojan / same\r\nKaspersky -\u003e Trojan-Ransom.Win32.Encoder.agqi / same\r\nMalwarebytes -\u003e Ransom.FileCryptor / same\r\nMicrosoft -\u003e Trojan:Win32/Qwexlafiba!rfn / Ransom:Win32/Genasom\r\nRising -\u003e Malware.Undefined!8.C (TFE:5:eGHwWIbSYQU) / Ransom.Encoder!8.FFD4 (CLOUD)\r\nTencent -\u003e Malware.Win32.Gencirc.14abd114 / Malware.Win32.Gencirc.14abf139\r\nTrendMicro -\u003e Ransom.Win64.EXITIUM.THCBEBF / same\r\n---\r\n© Генеалогия: родство выясняется \u003e\u003e Exitium\r\nhttps://id-ransomware.blogspot.com\r\nPage 5 of 27\n\nСайт \"ID Ransomware\" Exitium пока не идентифицирует. \r\nИнформация для идентификации\r\nАктивность этого крипто-вымогателя была в конце марта 2026 г. Ориентирован на англоязычных\r\nпользователей, может распространяться по всему миру.\r\nК зашифрованным файлам добавляется расширение: .exitium\r\nЗаписка с требованием выкупа называется: YOU ARE UNDER ATTACK!.html\r\n✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в\r\nконце статьи, в обновлениях. Они могут отличаться от первого варианта. \r\nТехнические детали + IOC\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\n✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или\r\nTotal Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nYOU ARE UNDER ATTACK!.html - название файла с требованием выкупа;\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\nhttps://id-ransomware.blogspot.com\r\nPage 6 of 27\n\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: -\r\nBTC: -\r\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов: \r\nMD5: 21e3ee033f416297165ed67f68382e3f\r\nSHA-1: 4d65238e1b1013a769824320b3b7d26905590fc8\r\nSHA-256: c369df262b5c786b950a0e412cd93a9da9a22e0048dcc8ff88197a3f3d2266e5\r\nVhash: 085066655d155555519z891z23z6055z13z25za7z\r\nImphash: 3fd8e3eb9785b233860b41f061374cc6\r\n---\r\nMD5: 6a0a21bf4f3140148bdf905a20446820\r\nSHA-1: 4ab3a3f85198cb8a18b0c5923abed054c2a85b1a\r\nSHA-256: 522c9f8d614818b2c0489763144648fcfdf7202f1e9c413f59683fa23373b7ea\r\nVhash: 085066655d155555519z891z23z6055z13z25za7z\r\nImphash: 3fd8e3eb9785b233860b41f061374cc6\r\nСтепень распространённости: низкая.\r\nИнформация дополняется. Присылайте образцы.\r\nhttps://id-ransomware.blogspot.com\r\nPage 7 of 27\n\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновлений не было или не добавлены.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + Message\r\n Write-up, Topic of Support\r\n ***\r\n Thanks:\r\n Bitshadow\r\n Andrew Ivanov (article author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nReynolds\r\nhttps://id-ransomware.blogspot.com\r\nPage 8 of 27\n\nReynolds Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а\r\nзатем требует выкуп, чтобы вернуть файлы. Используется техника BYOVD (Bring Your Own Verificant\r\nDriver) для обхода средств защиты.\r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.44391\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.1\r\nESET-NOD32 -\u003e Win64/Filecoder.Slug.A Trojan\r\nKaspersky -\u003e Trojan-Ransom.Win32.Gen.cfmt\r\nMicrosoft -\u003e Trojan:Win32/Etset!rfn\r\nRising -\u003e Ransom.LockFile!8.12D75 (LESS:bWQ1OvC9sq3WKwGWpQ4l5F43DMU)\r\nTencent -\u003e Win32.Trojan-Ransom.Gen.Ckjl\r\nTrendMicro -\u003e Ransom.Win64.REYNOLDS.THBAABF\r\n---\r\n© Генеалогия: родство выясняется \u003e\u003e Reynolds \r\nСайт \"ID Ransomware\" это пока не идентифицирует. \r\nИнформация для идентификации\r\nАктивность этого крипто-вымогателя была в начале февраля 2026 г. Ориентирован на англоязычных\r\nпользователей, может распространяться по всему миру.\r\nК зашифрованным файлам добавляется расширение: .locked\r\nЗаписка с требованием выкупа называется: ___RestoreYourFiles___.txt\r\nhttps://id-ransomware.blogspot.com\r\nPage 9 of 27\n\nСодержание записки о выкупе:\r\nAll your important files have been encrypted!\r\nContact us for price and get decryption software.\r\nYou have 3 days to contact us for negotiation.\r\nIf you do not contact us within three days, we will attack you again and leak your files.\r\n1) Contact our qtox.\r\nsession download address: https://qtox.github.io\r\nOur poison ID:\r\n6F7831EBB5EEB933275BD6F4B4AA888918E9B7E40454A477CADDE7EE02461153D3B77AE50798\r\n* Note that this server is available via Tor browser only\r\nFollow the instructions to open the link:\r\n1. Type the addres \"hxxps://www.torproject.org\" in your Internet browser. It opens the Tor site.\r\n2. Press \"Download Tor\", then press \"Download Tor Browser Bundle\", install and run it.\r\n3. Now you have Tor browser. In the Tor Browser open :\r\nhttp://bs2tlg32pfj***xumisfeory32qd.onion\r\n✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в\r\nконце статьи, в обновлениях. Они могут отличаться от первого варианта. \r\nТехнические детали + IOC\r\nhttps://id-ransomware.blogspot.com\r\nPage 10 of 27\n\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\n✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или\r\nTotal Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\n___RestoreYourFiles___.txt - название файла с требованием выкупа;\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: -\r\nBTC: -\r\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов: \r\nIOC: VT, HA, IA, TG, AR, VMR, JSB\r\nMD5: f0bdb2add62b0196a50e25e45e370cc5 \r\nSHA-1: 6dae1c4879d951af60f26c56b8701a2c1a8cd550 \r\nSHA-256: 6bd8a0291b268d32422139387864f15924e1db05dbef8cc75a6677f8263fa11d \r\nhttps://id-ransomware.blogspot.com\r\nPage 11 of 27\n\nVhash: 01503e0f7d1019z4!z \r\nImphash: e0e1f2570066873a57b410327671b6da\r\nСтепень распространённости: низкая.\r\nИнформация дополняется. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновлений не было или не добавлены.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + Message\r\n Write-up, Write-up, Topic of Support\r\n ***\r\n Thanks:\r\n PCrisk\r\n Andrew Ivanov (article author)\r\nhttps://id-ransomware.blogspot.com\r\nPage 12 of 27\n\n***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nGreenBlood\r\nGreenBlood Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а\r\nзатем требует выкуп, чтобы вернуть файлы. На файле написано: green.exe, sql_update.exe.\r\nРаспространитель: THE GREEN BLOOD GROUP. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.44290\r\nBitDefender -\u003e Trojan.GenericKD.78769005\r\nESET-NOD32 -\u003e WinGo/Filecoder.GreenBlood.A Trojan\r\nKaspersky -\u003e Trojan-Ransom.Win32.Encoder.afyu\r\nMalwarebytes -\u003e Trojan.Dropper.GO\r\nMicrosoft -\u003e Ransom:Win32/Avaddon.P!MSR\r\nRising -\u003e Ransom.Agent!1.129F5 (CLASSIC)\r\nTencent -\u003e Win32.Trojan-Ransom.Encoder.Ijgl\r\nhttps://id-ransomware.blogspot.com\r\nPage 13 of 27\n\nTrendMicro -\u003e Ransom.Win32.ABBADON.USBLAU26\r\n---\r\n© Генеалогия: родство выясняется \u003e\u003e GreenBlood\r\nСайт \"ID Ransomware\" это пока не идентифицирует. \r\nИнформация для идентификации\r\nАктивность этого крипто-вымогателя была в конце января 2026 г. и продолжилась в марте 2026 г.\r\nОриентирован на англоязычных пользователей, может распространяться по всему миру.\r\nК зашифрованным файлам добавляется расширение: .tgbg\r\nЗаписка с требованием выкупа называется: !!!READ_ME_TO_RECOVER_FILES!!!.txt\r\nЗаписка с требованием выкупа написана на экране блокировки: \r\n***\r\nСодержание записки о выкупе:\r\nYOUR FILES HAVE BEEN ENCRYPTED!\r\n### TH3 GR33N BL00D GROUP ###\r\nWhat happened?\r\nAll your important files (documents, photos, databases, etc.) have been encrypted 'enc++' using military-grade\r\nAES-256 encryption. Your files are now inaccessible and cannot be recovered without our decryption service.\r\nYour unique identifiers:\r\n• Recovery ID:\r\n• Machine ID:\r\n• Date/Time: 2026-01-29 06:48:59\r\n• Files encrypted: .tgbg extension\r\nhttps://id-ransomware.blogspot.com\r\nPage 14 of 27\n\nHow to recover your files:\r\n1. Contact Us\r\n2. Provide your Recovery ID and Machine ID\r\n3. Follow the payment instructions (Bitcoin only)\r\n4. After payment confirmation, you will receive the decryption tool\r\n***\r\nhttps://id-ransomware.blogspot.com\r\nPage 15 of 27\n\n✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в\r\nконце статьи, в обновлениях. Они могут отличаться от первого варианта. \r\nТехнические детали + IOC\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\n✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или\r\nTotal Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\n!!!READ_ME_TO_RECOVER_FILES!!!.txt - название файла с требованием выкупа;\r\ngreen.exe, sql_update.exe -  название вредоносного файла.\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nhttps://id-ransomware.blogspot.com\r\nPage 16 of 27\n\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL: scbrksw5fgjtujc2ah42roo6bij2unr2tggfcynpbql5a7yp3s22taid[.]onion:8000\r\nEmail: thegreenblood@proton.me\r\nBTC: -\r\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов: \r\nIOC: VT, HA, IA, TG, AR, VMR, JSB\r\nMD5: e760729dcee518659d9510ae1705db51 \r\nSHA-1: f0336d1dad9615f3227bf7750d1cdfd3efa10008 \r\nSHA-256: 12bba7161d07efcb1b14d30054901ac9ffe5202972437b0c47c88d71e45c7176 \r\nVhash: 0360f6655d15551555757az2e!z \r\nImphash: d42595b695fc008ef2c56aabd8efd68e\r\nСтепень распространённости: низкая.\r\nИнформация дополняется. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновлений не было или не добавлены.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nhttps://id-ransomware.blogspot.com\r\nPage 17 of 27\n\nRead to links:\r\n Message + Message + Message\r\n Write-up, Topic of Support\r\n ***\r\n Thanks:\r\n Hyuna Lee, pcrisk\r\n Andrew Ivanov (article author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nClearWater\r\nClearWater Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а\r\nзатем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На\r\nфайле написано: нет данных.\r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.44197\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.3\r\nhttps://id-ransomware.blogspot.com\r\nPage 18 of 27\n\nESET-NOD32 -\u003e Generik.DZGDAZR Trojan\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Win32.Crypmod.gen\r\nMicrosoft -\u003e Ransom:Win64/ClearWate.YBG!MTB\r\nRising -\u003e Ransom.Agent!1.129F5 (CLASSIC)\r\nTrendMicro -\u003e Ransom_ClearWate.R002C0DAN26\r\n---\r\n© Генеалогия: родство выясняется \u003e\u003e ClearWater (CLEARWATER)\r\nСайт \"ID Ransomware\" это пока не идентифицирует. \r\nИнформация для идентификации\r\nАктивность этого крипто-вымогателя была в начале января 2026 г. Ориентирован на англоязычных\r\nпользователей, может распространяться по всему миру.\r\nК зашифрованным файлам добавляется расширение: .clear\r\nЗаписка с требованием выкупа называется: CLEARWATER_README.txt\r\nСодержание записки о выкупе:\r\nYour files have been encrypted by CLEARWATER Ransomware. Unluck :(\r\nDo not attempt decryption or recovery without proper instructions or your data will be lost.\r\nhttps://id-ransomware.blogspot.com\r\nPage 19 of 27\n\nTo contact us, write to this TOR address:\r\nhxxx://b6rgpykvtyqah4q5tii25ouevr5g3u2s7pqc24jdlyhrfms3itljtkqd.onion/index.html?chat=409da0d0-125e-4b48-8a3b-6535ffbd4617\r\nAnd remember, nothing personal, exclusively business!\r\nHave a nice day, jolly Christmas and Happy New Year! :)\r\n✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в\r\nконце статьи, в обновлениях. Они могут отличаться от первого варианта. \r\nТехнические детали + IOC\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\n✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или\r\nTotal Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nCLEARWATER_README.txt - название файла с требованием выкупа;\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\nhttps://id-ransomware.blogspot.com\r\nPage 20 of 27\n\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL: hxxx://b6rgpykvtyqah4q5tii25ouevr5g3u2s7pqc24jdlyhrfms3itljtkqd.onion\r\nEmail: -\r\nBTC: -\r\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов: \r\nMD5: d762a79258667ee965a32b2983a4339e \r\nSHA-1: 2f9dcef2b5a20fefb1a22b8e2b0a93fc0b48e2e4 \r\nSHA-256: 7116b9e0dd107e20cf0169bdd5580a7d5ff0cae1bbdda77d1be92c66c4367901 \r\nVhash: 0261266d1555655c051d00c3z32z4456lz2fz \r\nImphash: 3b90653d18aa7396b0a04211c3c6d3b2\r\nСтепень распространённости: низкая.\r\nИнформация дополняется. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновлений не было или не добавлены.\r\nhttps://id-ransomware.blogspot.com\r\nPage 21 of 27\n\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + Message\r\n Write-up, Topic of Support\r\n ***\r\n Thanks:\r\n Hyuna Lee\r\n Andrew Ivanov (article author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSicari\r\nSicari Ransomware\r\nAliases: Sicarii, Sicarius\r\nSicari Ransomware Group\r\nhttps://id-ransomware.blogspot.com\r\nPage 22 of 27\n\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов\r\nAES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Распространитель: Sicari Ransomware\r\nGroup\r\n---\r\nОбнаружения:\r\nDrWeb -\u003e ***\r\nBitDefender -\u003e Trojan.Ransom.PKV\r\nESET-NOD32 -\u003e Win64/Filecoder.AEV Trojan\r\nKaspersky -\u003e HEUR:Exploit.Win32.BypassUAC.b\r\nMalwarebytes -\u003e Ransom.Sicarius\r\nMicrosoft -\u003e Ransom:Win32/Avaddon.P!MSR\r\nRising -\u003e Ransom.Agent!1.129F5 (CLASSIC)\r\nTencent -\u003e Malware.Win32.Gencirc.14a642b3\r\nTrendMicro -\u003e Ransom.Win64.SICARI.SMPI\r\n---\r\n© Генеалогия: родство выясняется \u003e\u003e Sicari\r\nСайт \"ID Ransomware\" это пока не идентифицирует. \r\nИнформация для идентификации\r\nАктивность этого крипто-вымогателя была в конце декабря 2025 г. Ориентирован на англоязычных\r\nпользователей, может распространяться в отдельно взятой стране или даже по всему миру.\r\nК зашифрованным файлам добавляется расширение: *нет данных*.\r\nЗаписка с требованием выкупа называется: README_SICARII_LOCKED.txt\r\nСодержание записки о выкупе:\r\nhttps://id-ransomware.blogspot.com\r\nPage 23 of 27\n\n✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в\r\nконце статьи, в обновлениях. Они могут отличаться от первого варианта. \r\nТехнические детали + IOC\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\n✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или\r\nTotal Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nREADME_SICARII_LOCKED.txt - название файла с требованием выкупа;\r\nsicarii_wallpaper.bmp - изображение, заменяющее обои Рабочего стола;\r\nProject3.exe, file.exe - названия вредоносных файлов.  \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\User\\AppData\\Local\\Temp\\sicarii_wallpaper.bmp\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nhttps://id-ransomware.blogspot.com\r\nPage 24 of 27\n\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL:\r\nsicariifoucvhyqg54smi3esg5sfcyw5z65t6yigqu4loyuoz62bb2id.onion\r\nsicarilxx2br6esqnhad4w26bcgb5j2snbbnhyo4b6t7kby2oy4x3jad.onion\r\nsicari7m63wlggfxajiuonfsk72fgencne5ztzakyuhfxzq5rnbkjead.onion\r\nsicariktdbhjtrk6f2pwdh6wlequw7pcjva25skkzz4m3zz3opyox3qd.onion\r\nsicari7zpu3mtxqggde7mu3ywppntdqg22arcukvlaihjbfcb2rnktid.onion\r\nsicarinb4ktqcdpubjifzw3vixvzgtwacjmc5ks56kev52gxitegigad.onion\r\nEmail: -\r\nBTC: -\r\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов: \r\nIOC: VT, HA, IA, TG, AR, VMR, JSB\r\nMD5: b8874058df485767451961e86cf52dce \r\nSHA-1: 04e18e6a11801456fffade6df99689c54d97d0a6 \r\nSHA-256: 4104542714022cb6ef34e9ee5affca07b9a38dbee49748f8630c5f50a26db8b2 \r\nVhash: 0260a6551d15551d151d0193z22z8ehz33z31z91zb7z \r\nImphash: b78e76e49402748ad77cc672c513626c\r\nhttps://id-ransomware.blogspot.com\r\nPage 25 of 27\n\nСтепень распространённости: низкая.\r\nИнформация дополняется. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновлений не было или не добавлены.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + Message\r\n Write-up, Topic of Support\r\n ***\r\n Thanks:\r\n PaduckLee, Bitshadow\r\n Andrew Ivanov (article author)\r\n ***\r\n to the victims who sent the samples\r\nhttps://id-ransomware.blogspot.com\r\nPage 26 of 27\n\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com\r\nhttps://id-ransomware.blogspot.com\r\nPage 27 of 27",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com"
	],
	"report_names": [
		"id-ransomware.blogspot.com"
	],
	"threat_actors": [],
	"ts_created_at": 1775434128,
	"ts_updated_at": 1775791298,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/6739eb914991e31c783bd9ead73e44ab991a5bae.pdf",
		"text": "https://archive.orkl.eu/6739eb914991e31c783bd9ead73e44ab991a5bae.txt",
		"img": "https://archive.orkl.eu/6739eb914991e31c783bd9ead73e44ab991a5bae.jpg"
	}
}