{
	"id": "2cf582f4-1876-41ed-82e7-f7ce0f3d6ceb",
	"created_at": "2026-04-06T00:16:53.788349Z",
	"updated_at": "2026-04-10T13:11:33.148635Z",
	"deleted_at": null,
	"sha1_hash": "71e6e667e19aa1e3fa3806e352442b214a4b67cc",
	"title": "SepSys",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 210186,
	"plain_text": "SepSys\r\nArchived: 2026-04-05 23:34:36 UTC\r\nSepSys Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в\r\nBTC, чтобы вернуть файлы. Оригинальное название: sepSys. На файле написано: нет данных. Получатель\r\nкриптовалюты: Silicon Venom.\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31095\r\nBitDefender -\u003e Trojan.GenericKD.42682853, Gen:Variant.Razy.618273\r\nEmsisoft -\u003e Trojan-Ransom.SepSys (A)\r\nESET-NOD32 -\u003e Win64/Filecoder.BM, A Variant Of Win64/Filecoder.BM\r\nFortinet -\u003e W32/Ransom.FVG!tr\r\nKaspersky -\u003e Trojan.Win32.Zudochka.ebg\r\nMalwarebytes -\u003e Ransom.SepSys\r\nMicrosoft -\u003e Ransom:Win32/SepSys!MTB\r\nQihoo-360 -\u003e Trojan.Generic\r\nRising -\u003e Ransom.SepSys!1.C30A (CLOUD)\r\nTrendMicro -\u003e Ransom.Win64.SEPSYS.A, Ransom_Filecoder.R002C0DC520,\r\nRansom_Henasome.R002C0DDB20\r\n---\r\n© Генеалогия: ??? \u003e SepSys \u003e Silvertor\r\nhttps://id-ransomware.blogspot.com/2020/02/sepsys-ransomware.html\r\nPage 1 of 6\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .sepsys Внимание! Новые расширения, email и\r\nтексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным\r\nвариантом. \r\nАктивность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: README.html\r\nСодержание записки о выкупе:\r\nATTENTION! Your computer has been infected by sepSys!\r\nYour files have been encrypted with a random key and no decryption tool can save them\r\nTo regain access to your files, please make a $100 donation to Silicon Venom\r\nWe only accept payments in Bitcoin (BTC). Check this out to learn more: https://bitcoin.org/en/buy\r\nYour donation should be sent to the following BTC wallet address: 3BL1TbL96gQFTR9EJFKX7JSp889oj2nJmj\r\nOnce you have paid, contact us at iaminfected.sac@elude.in to receive your unique password and instructions on\r\nhow to use it\r\nThe sooner you pay the better! Your files will be permanently corrupted over time, so act quickly\r\nhttps://id-ransomware.blogspot.com/2020/02/sepsys-ransomware.html\r\nPage 2 of 6\n\nWe appreciate your cooperation.\r\nПеревод записки на русский язык:\r\nВНИМАНИЕ! Ваш компьютер был заражен sepSys!\r\nВаши файлы зашифрованы случайным ключом, и никакой инструмент расшифровки не может их\r\nсохранить\r\nЧтобы вернуть доступ к вашим файлам, пожертвуйте 100$ на Silicon Venom\r\nМы принимаем платежи только в биткойнах (BTC). Проверьте это, чтобы узнать больше:\r\nhttps://bitcoin.org/en/buy\r\nВаше пожертвование должно быть отправлено на следующий адрес BTC-кошелька:\r\n3BL1TbL96gQFTR9EJFKX7JSp889oj2nJmj\r\nПосле оплаты пишите нам на адрес iaminfected.sac@elude.in, чтобы получить уникальный пароль и\r\nинструкции по его использованию.\r\nЧем раньше вы заплатите, тем лучше! Ваши файлы будут повреждены, поэтому действуйте быстро\r\nМы ценим ваше сотрудничество.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Использует Windows PowerShell для атаки. Это в очередной раз подтверждает вредоносность этой\r\nтехнологии Microsoft. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nREADME.html\r\nhttps://id-ransomware.blogspot.com/2020/02/sepsys-ransomware.html\r\nPage 3 of 6\n\ndestructy-1.0.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\ProgramData\\README.html\r\nОригинальное название проекта: \r\nC:\\Users\\tinop\\Documents\\Experiments\\virusTests\\sepSys1-0\\target\\debug\\deps\\sepSys1_0-\r\nebd9526c88434a09.pdb\r\nПрочее:\r\nDesktoppasswordhere.txtajsndhcuyofklqwghftdgcbsmdfkiops.sepsyssepsyssrc\\main.rs\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nURL - IP: http://www.myip.ch/\r\nURL - icon: https://2no.co/3mAp64\r\nEmail: iaminfected.sac@elude.in\r\nBTC: 3BL1TbL96gQFTR9EJFKX7JSp889oj2nJmj\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\nhttps://id-ransomware.blogspot.com/2020/02/sepsys-ransomware.html\r\nPage 4 of 6\n\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nSepSys Ransomware - февраль 2020\r\nSilvertor Ransomware - июль 2020\r\nRedRoman Ransomware - ноябрь 2020\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 25 апреля 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .sepsys\r\nВыдает себя за SMBGhoster_1.2.exe\r\nРезультаты анализов: VT\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as ***)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n GrujaRS, MalwareHunterTeam\r\n Andrew Ivanov (author)\r\nhttps://id-ransomware.blogspot.com/2020/02/sepsys-ransomware.html\r\nPage 5 of 6\n\n***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/02/sepsys-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/02/sepsys-ransomware.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/02/sepsys-ransomware.html"
	],
	"report_names": [
		"sepsys-ransomware.html"
	],
	"threat_actors": [
		{
			"id": "9de1979b-40fc-44dc-855d-193edda4f3b8",
			"created_at": "2025-08-07T02:03:24.92723Z",
			"updated_at": "2026-04-10T02:00:03.755516Z",
			"deleted_at": null,
			"main_name": "GOLD LOCUST",
			"aliases": [
				"Anunak",
				"Carbanak",
				"Carbon Spider ",
				"FIN7 ",
				"Silicon "
			],
			"source_name": "Secureworks:GOLD LOCUST",
			"tools": [
				"Carbanak"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "cfdd35af-bd12-4c03-8737-08fca638346d",
			"created_at": "2022-10-25T16:07:24.165595Z",
			"updated_at": "2026-04-10T02:00:04.887031Z",
			"deleted_at": null,
			"main_name": "Sea Turtle",
			"aliases": [
				"Cosmic Wolf",
				"Marbled Dust",
				"Silicon",
				"Teal Kurma",
				"UNC1326"
			],
			"source_name": "ETDA:Sea Turtle",
			"tools": [
				"Drupalgeddon"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "33ae2a40-02cd-4dba-8461-d0a50e75578b",
			"created_at": "2023-01-06T13:46:38.947314Z",
			"updated_at": "2026-04-10T02:00:03.155091Z",
			"deleted_at": null,
			"main_name": "Sea Turtle",
			"aliases": [
				"UNC1326",
				"COSMIC WOLF",
				"Marbled Dust",
				"SILICON",
				"Teal Kurma"
			],
			"source_name": "MISPGALAXY:Sea Turtle",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "62b1b01f-168d-42db-afa1-29d794abc25f",
			"created_at": "2025-04-23T02:00:55.22426Z",
			"updated_at": "2026-04-10T02:00:05.358041Z",
			"deleted_at": null,
			"main_name": "Sea Turtle",
			"aliases": [
				"Sea Turtle",
				"Teal Kurma",
				"Marbled Dust",
				"Cosmic Wolf",
				"SILICON"
			],
			"source_name": "MITRE:Sea Turtle",
			"tools": [
				"SnappyTCP"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434613,
	"ts_updated_at": 1775826693,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/71e6e667e19aa1e3fa3806e352442b214a4b67cc.pdf",
		"text": "https://archive.orkl.eu/71e6e667e19aa1e3fa3806e352442b214a4b67cc.txt",
		"img": "https://archive.orkl.eu/71e6e667e19aa1e3fa3806e352442b214a4b67cc.jpg"
	}
}