{
	"id": "9eca65a6-6a48-4b1a-87de-bf6d2f6dbeba",
	"created_at": "2026-04-06T00:14:31.134013Z",
	"updated_at": "2026-04-10T03:31:40.445435Z",
	"deleted_at": null,
	"sha1_hash": "a20be3d0fc8e3f6949ca30cd7bc2ac0c9559653d",
	"title": "Nefilim, Nephilim",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1985988,
	"plain_text": "Nefilim, Nephilim\r\nArchived: 2026-04-05 14:14:52 UTC\r\nNefilim Ransomware\r\nNefilim Doxware\r\nVariants: Nephilim, Offwhite, Sigareta, Telegram, Nef1lim, Mefilin, Trapget,\r\nMerin, Fusion, Infection, Milihpen, Derzko, Gangbang, Kiano, Mansory\r\n(шифровальщик-вымогатель, публикатор) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью AES-128 + RSA-2048, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп в # BTC и вернуть\r\nфайлы. Оригинальное название: Nefilim. На файле написано: что попало. Написан на языке Go. \r\nВымогатели, распространяющие Nefilim-Nephilim, угрожают опубликовать украденные данные с целью\r\nусиления давления на жертву (отсюда дополнительное название — публикатор). Как известно из других\r\nRansomware, для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов.\r\nНа момент публикации статьи, не было известно о публикациях украденных данных, вымогатели только\r\nугрожали, но в марте 2020 они создали сайт для публикаций украденных данных. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31246, Trojan.MulDrop11.51385, Trojan.Encoder.31414, Trojan.Encoder.31491,\r\nTrojan.Encoder.31726, Trojan.MulDrop12.50861,\r\nTrojan.PWS.Siggen2.49647, Trojan.Encoder.32146, Trojan.Encoder.32161,\r\nTrojan.Encoder.32607, Trojan.Encoder.32608, Trojan.Encoder.32811, Trojan.Encoder.33298, Trojan.Encoder.33444\r\n...\r\nBitDefender -\u003e Trojan.GenericKD.42843933, Gen:Trojan.Heur.RP.cmHfaSRzti\r\nALYac -\u003e Trojan.Ransom.Nefilim\r\nAvira (no cloud) -\u003e TR/RedCap.iheqe, TR/RedCap.ufyno, Trojan.GenericKD.44062454\r\nESET-NOD32 -\u003e Win32/Filecoder.Nemty.D, Win32/Filecoder.Nemty.J, A Variant Of Win32/Filecoder.Nemty.M\r\n...\r\nKaspersky -\u003e Trojan.Win32.Zudochka.edv, Trojan-Ransom.Win32.Cryptor.ddi\r\nMalwarebytes -\u003e Ransom.Nefilim\r\nRising -\u003e Ransom.NEFILIM!1.C3E7 (CLOUD), Trojan.MalCert!1.C3E8 (CLOUD)\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 1 of 27\n\nSymantec -\u003e Trojan.Gen.MBT, ML.Attribute.HighConfidence, Ransom.Nefilim!gm1\r\nTencent -\u003e Win32.Trojan.Filecoder.Eerg, Win32.Trojan.Filecoder.Ahyi, Win32.Trojan.Filecoder.Tbik\r\nTrendMicro -\u003e Ransom.Win32.NEFILIM.A, Ransom.Win32.NEFILIM.B, Ransom_Genasom.R011C0DJB20\r\nVBA32 -\u003e TrojanRansom.JSWorm.d\r\n--- © Генеалогия: JSWorm \u003e Nemty (Nemty 2.5) \u003e Nefilim \u003e KarmaCypher, KARMA_V2\r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .NEFILIM\r\nТакже используется маркер файлов: NEFILIM\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на первую половину - середину марта 2020 г. Штамп даты:\r\n10 марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 2 of 27\n\nвсему миру.\r\nЗаписка с требованием выкупа называется: NEFILIM-DECRYPT.txt\r\nСодержание записки о выкупе:\r\nAll of your files have been encrypted with military grade algorithms.\r\nWe ensure that the only way to retrieve your data is with our software.\r\nWe will make sure you retrieve your data swiftly and securely when our demands are met.\r\nRestoration of your data requires a private key which only we possess.\r\nA large amount of your private files have been extracted and is kept in a secure location.\r\nIf you do not contact us in seven working days of the breach we will start leaking the data.\r\nAfter you contact us we will provide you proof that your files have been extracted.\r\nTo confirm that our decryption software works email to us 2 files from random computers. \r\nYou will receive further instructions after you send us the test files.\r\njamesgonzaleswork1972@protonmail.com\r\npretty_hardjob2881@mail.com\r\ndprworkjessiaeye1955@tutanota.com\r\nПеревод записки на русский язык:\r\nВсе ваши файлы зашифрованы с алгоритмами военного уровня,\r\nМы ручаемся, что единственный способ восстановить ваши данные — с помощью нашей программы,\r\nМы позаботимся о том, чтобы вы быстро и безопасно вернули ваши данные, когда наши требования будут\r\nвыполнены.\r\nДля восстановления ваших данных требуется закрытый ключ, которым владеем только мы.\r\nБольшое количество ваших личных файлов было извлечено и хранится в безопасном месте.\r\nЕсли вы не свяжетесь с нами в течение семи рабочих дней с момента нарушения, мы начнем передавать\r\nданные.\r\nПосле того, как вы обратитесь к нам, мы предоставим вам подтверждение того, что ваши файлы можно\r\nвернуть.\r\nЧтобы подтвердить, что наша программа для дешифрования работает, отправьте нам 2 файла со случайных\r\nкомпьютеров.\r\nВы получите дальнейшие инструкции после отправки нам тест-файлов.\r\njamesgonzaleswork1972@protonmail.com\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 3 of 27\n\npretty_hardjob2881@mail.com\r\ndprworkjessiaeye1955@tutanota.com\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Использует генератор случайного ключа для каждого файла.  \r\n➤ Использует чужие подписанные сертификаты для exe-файлов.\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nNEFILIM-DECRYPT.txt - название файла с требованием выкупа\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\Administrator\\Desktop\\New folder\\Release\\NEFILIM.pdb\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nDen'gi plyvut v karmany rekoy. My khodim po krayu nozha...\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 4 of 27\n\nСкриншоты от исследователей:\r\nВ Nefilim используется код, почти идентичный коду из Nemty версии 2.5. Также имеется зуб на корейскую\r\nантивирусную компанию Ahnlab, как было в Nemty и JSWorm Ransomware.\r\nВ строках есть слова на русском языке, написанные английскими буквами, а также упоминания\r\nантивирусных компаний AhnLab и SophosLabs, написанные с ошибками. \r\nСетевые подключения и связи:\r\nEmail: jamesgonzaleswork1972@protonmail.com\r\npretty_hardjob2881@mail.com\r\ndprworkjessiaeye1955@tutanota.com\r\nBTC: \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e  AR\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 5 of 27\n\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nNemty 1.x - август 2019\r\nNemty Revenge 2.0 - ноябрь 2019\r\nNefilim Ransomware - март 2020\r\nСм. ниже обновления с элементами идентификации. \r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 19 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .NEFILIM\r\nМьютекс: \r\nDen'gi plyvut v karmany rekoy. My khodim po krayu nozha...\r\nФайл: kinodomino.exe\r\nРезультаты анализов: VT + VMR + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.31414\r\nBitDefender -\u003e Generic.Ransom.Nemty.5E50AD57\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Nemty.F\r\nMalwarebytes -\u003e Ransom.Nefilim\r\nMicrosoft -\u003e Ransom:Win32/Nemty.MMV!MTB\r\nОбновление от 24 марта 2020:\r\nВымогатели создали сайт \"Corporate Leaks\" для публикации украденных данных тех компаний и бизнес-пользователей, которые отказались платить выкуп. \r\nСтатья на сайте BleepingComputer \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 6 of 27\n\nОбновление от 25 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .NEPHILIM\r\nЗаписка: NEPHILIM-DECRYPT.txt\r\ngod.jpg - изображение, заменяющее обои Рабочего стола\r\nEmail-ransom: Bernardocarlos@tutanota.com\r\nDeanlivermore@protonmail.com\r\nrobertatravels@mail.com\r\n \r\n \r\nМаркер зашифрованных файлов: NEPHILIM\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 7 of 27\n\nURL-leaks: hxxx://hxt254aygrsziejn.onion/\r\nEmail-leaks: Derekvirgil@protonmail.com\r\nSamanthareflock@mail.com\r\nGerardbroncks@tutanota.com\r\n \r\n \r\n \r\nФайл: weeli.exe\r\nРезультаты анализов: VT + HA + IA + AR + VMR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.31414, Trojan.Encoder.31491\r\nBitDefender -\u003e Gen:Variant.Ser.Razy.11947\r\nALYac -\u003e Trojan.Ransom.Nefilim\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Nemty.F\r\nMalwarebytes -\u003e Ransom.Nefilim\r\nRising -\u003e Ransom.NEFILIM!1.C3E7 (CLOUD)\r\nSymantec -\u003e Trojan.Gen.MBT\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 8 of 27\n\nTencent -\u003e Win32.Trojan.Cryptor.Loil\r\nTrendMicro -\u003e Trojan.Win32.MALREP.THDOABO\r\nОбновление от 3 мая 2020: \r\nШтамп даты: 30 апреля 2020. \r\nРасширение: .OFFWHITE\r\nЗаписка: OFFWHITE-MANUAL.txt\r\n \r\nФайл проекта: C:\\why so ez\\to bypass sofos\\Release\\NEPHILIM.pdb\r\n➤ Мьютекс: \r\nONA MOYA ROZA I YA EE LUBLUUUUUUUU, ONA MOYA DOZA - SEGODNYA ZATYANU\r\nСайт leaks: hxxx://corpleaks.net\r\nСайт Tor: hxxxp://hxt254aygrsziejn.onion\r\nEmail: SamanthaKirbinron@protonmail.com\r\nDenisUfliknam@protonmail.com\r\nRobertGorgris@protonmail.com\r\nФайл: sync.bad.exe\r\nРезультаты анализов: VT + HA + IA + VMR + AR\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 9 of 27\n\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.31726\r\nAvira (no cloud) -\u003e TR/RedCap.pdjht\r\nBitDefender -\u003e Gen:Heur.Trickbot.3\r\nESET-NOD32 -\u003e A Variant Of Generik.BZKRWVJ\r\nMcAfee -\u003e GenericRXKC-OA!86E048D2EAE9\r\nTrendMicro -\u003e TROJ_FRS.VSNW04E20\r\nОбновление от 12 мая 2020:\r\nШтамп даты: 30 апреля 2020. \r\nРасширение: .OFFWHITE\r\nЗаписка: OFFWHITE-MANUAL.txt\r\nscam.jpg - изображение, заменяющее обои Рабочего стола\r\n➤ Мьютекс: \r\nONA MOYA ROZA I YA EE LUBLUUUUUUUU, ONA MOYA DOZA - SEGODNYA ZATYANU\r\nСайт leaks: hxxx://corpleaks.net\r\nСайт Tor: hxxx://hxt254aygrszie.jn.onion\r\nEmail: PepperTramcrop@protonmail.com\r\nTigerLadentop@protonmail.com\r\nJeromeRotterberg@protonmail.com\r\nРезультаты анализов: AR + VT + VMR \r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 10 of 27\n\nОбновление от 28 мая 2020:\r\nШтамп даты: 30 апреля 2020. \r\nПост в Твиттере \u003e\u003e\r\nРасширение: .OFFWHITE\r\nЗаписка: OFFWHITE-MANUAL.txt\r\nИзображение, заменяющее обои Рабочего стола: scam.jpg\r\nLeaks-URL: hxxx://corpleaks.net\r\nTOR-URL: hxxx://hxt254aygrsziejn.onion\r\nEmail: KeithTravinsky1985@protonmail.com\r\nHermioneHatchetman@protonmail.com\r\nWilliamShrieksword@protonmail.com\r\nФайл EXE: winnit.exe\r\nРезультаты анализов: AR + VT + JSB\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 11 of 27\n\nОбновление от 1 июня 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .SIGARETA\r\nЗаписка: SIGARETA-RESTORE.txt\r\nФайл проекта: C:\\define path\\pahan\\Release\\SIGARETA.pdb\r\nМаркер файлов: SIGARETA\r\nНовый мьютекс: \r\nmoya mama govorit: sina, ti bezdelnik. a mne kak to pohui, ya kury rasteniya ;)\r\nEmail: DineshSchwartz1965@protonmail.com\r\nRupertMariner1958@protonmail.com\r\nStephanForenzzo1985@protonmail.com\r\nURL leaks: hxxx://corpleaks.net\r\nTor URL: hxxx://hxt254aygrsziejn.onion\r\n \r\n \r\nФайл EXE: red.exe\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 12 of 27\n\nРезультаты анализов: VT + HA + IA + AR + TG\r\n---\r\n➤ Содержание записки: \r\nTwo things have happened to your company.\r\n==================\r\nAll of your files have been encrypted with military grade algorithms.\r\nThe only way to retrieve your data is with our software.\r\nRestoration of your data requires a private key which only we possess.\r\n==================\r\nInformation that we deemed valuable or sensitive was downloaded from your network to a secure location.\r\nWe can provide proof that your files have been extracted.\r\nIf you do not contact us we will start leaking the data periodically in parts.\r\n==================\r\nTo confirm that our decryption software works email to us 2 files from random computers. \r\nYou will receive further instructions after you send us the test files.\r\nWe will make sure you retrieve your data swiftly and securely and that your data is not leaked when our demands\r\nare met.\r\nIf we do not come to an agreement your data will be leaked on this website.\r\nWebsite: hxxx://corpleaks.net\r\nTOR link: hxxx://hxt254aygrsziejn.onion\r\nContact us via email:\r\nDineshSchwartz1965@protonmail.com\r\nRupertMariner1958@protonmail.com\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 13 of 27\n\nStephanForenzzo1985@protonmail.com\r\nОбновление от 15 июня 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .TELEGRAM\r\nЗаписка: TELEGRAM-RECOVER.txt\r\nEmail: EdsonEpsok@protonmail.com, Alfredhormund@protonmail.com, timothymandock@tutanota.com\r\nНовый мьютекс:\r\nna mne prigaet zhopa, pamc, pamc, pamc, pamc, pamc, ya vse\r\nРезультаты анализов: VT + HA + VMR\r\nОбновление от 24 июня 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .TELEGRAM\r\nЗаписка: TELEGRAM-RECOVER.txt\r\nEmail: Pameladuskhock@protonmail.com\r\nTamarabuildpop@protonmail.com\r\nGilbertoPortaless@tutanota.com\r\nURL: hxxx://corpleaks.net\r\nTor-URL: hxxx://hxt254aygrsziejn.onion\r\nРезультаты анализов: VT + IA\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 14 of 27\n\nОбновление от 9 июля 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .NEFILIM\r\nЗаписка: NEFILIM-DECRYPT.txt\r\nURL: hxxx://corpleaks.net\r\nTor-URL: hxxx://hxt254aygrsziejn.onion\r\nEmail: bobbybarnett2020@protonmail.com\r\nfriedashumes@protonmail.com\r\nmarkngibson10@protonmail.com\r\nРезультаты анализов: VT + HA + IA \r\n➤Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.32096\r\nBitDefender -\u003e Trojan.GenericKD.34145812\r\nESET-NOD32 -\u003e A Variant Of Generik.MWSLZGA\r\nKaspersky -\u003e Trojan-Ransom.Win32.Encoder.jmf\r\nRising -\u003e Ransom.Encoder!8.FFD4 (CLOUD)\r\nSymantec -\u003e Downloader\r\nTencent -\u003e Win32.Trojan.Encoder.Pfjj\r\nTrendMicro -\u003e TROJ_FRS.VSNTGB20\r\nОбновление от 14 июля 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .NEF1LIM\r\nЗаписка: NEF1LIM-DECRYPT.txt\r\nСайт: hxxx://corpleaks.net\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 15 of 27\n\nTor-URL: hxxx://hxt254aygrsziejn.onion\r\nEmail: AlanMorbenhal@protonmail.com \r\nKillianoprahh@protonmail.com \r\nMonicaTuskmarka@tutanota.com \r\nФайл alt.exe. Подписанный образец. \r\nРезультаты анализов: VT + IA + HA + AR + TG\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.32146\r\nALYac -\u003e Trojan.Ransom.Nefilim\r\nBitDefender -\u003e Trojan.GenericKD.43496098\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Nemty.H\r\nMalwarebytes -\u003e Ransom.Nefilim\r\nMicrosoft -\u003e Ransom:Win64/NefiCrypt.MK!MTB\r\nRising -\u003e Trojan.MalCert!1.C912 (CLOUD)\r\nSymantec -\u003e Trojan.Gen.2\r\nTrendMicro -\u003e Ransom.Win64.NEFILIM.AA\r\nОбновление от 1 августа 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .NEF1LIM\r\nЗаписка: NEF1LIM-DECRYPT.txt\r\nСайт: hxxx://corpleaks.net\r\nTor-URL: hxxx://hxt254aygrsziejn.onion\r\ncontact us via email:\r\nEmail: laraholmort@protonmaill.com\r\nGeenakormann@protonmail.com\r\nChiaraKolkmann@tutanota.com\r\nРезультаты анализов: VT + IA\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 16 of 27\n\nОбновление от 26 августа 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .NEF1LIM\r\nРезультаты анализов: VT + JSB\r\nОбновление от 1 сентября 2020:\r\nРасширение: .MEFILIN\r\nЗаписка: MEFILIN-README.txt\r\nМаркер файлов: MEFILIN\r\nОбновление от 21 сентября 2020:\r\nРасширение: .TRAPGET\r\nМаркер файлов: TRAPGET\r\nЗаписка: TRAPGET-INSTRUCTION.txt\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 17 of 27\n\nEmail-1: befittingdavid@protonmail.com\r\nluizunwrite2020@protonmail.com\r\npaologaldini2020@tutanota.com\r\n---\r\nEmail-2: Mariajackson2020williams@protonmail.com\r\nMariaJackson2019williams@protonmail.com\r\nStephanVeamont1997C@tutanota.com\r\n \r\nURL: hxxx://corpleaks.net\r\nTor-URL: hxxx://hxt254aygrsziejn.onion\r\nРезультаты анализов: VT + VMR + IA\r\nОбновление от 13 сентября 2020:\r\nРасширение: .MERIN\r\nЗаписка: MERIN-DECRYPTING.txt\r\nEmail: Johnmoknales@protonmail.com\r\nThomposmirk@protonmail.com\r\nJeremynorton@tutanota.com\r\nРезультаты анализов: VT + IA\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 18 of 27\n\nОбновление от 7 ноября 2020: \r\nРасширение: .FUSION\r\nЗаписка: FUSION-README.txt\r\nМаркер файлов: FUSION\r\nСайт: hxxx://corpleaks.net\r\nTor-URL: hxxx://hxt254aygrsziejn.onion\r\nEmail: markZ9910@protonmail.com\r\ndonald972@protonmail.con\r\nYess99334412@tutanota.com\r\nОбновление от 9 декабря 2020:\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 19 of 27\n\nРасширение: .INFECTION\r\nМаркер файлов: INFECTION\r\nЗаписка: INFECTION-HELP.txt\r\nEmail: christopherlampar1990@tutanota.com\r\nrodtherry1985@tutanota.com\r\nlewisldupre@protonmail.com\r\nURL: hxxx://corpleaks.net\r\nTor-URL: hxxx://hxt254aygrsziejn.onion\r\nФайл: aes.exe\r\nРезультаты анализов: VT + HA + VMR + TG\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33298\r\nALYac -\u003e Gen:Variant.Bulz.232846\r\nAvira (no cloud) -\u003e TR/Agent.lesdm\r\nBitDefender -\u003e Gen:Variant.Bulz.232846\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Nemty.I\r\nKaspersky -\u003e Trojan-Ransom.Win32.SuspFile.d\r\nMicrosoft -\u003e Trojan:Win32/Wacatac.B!ml\r\nSymantec -\u003e Downloader\r\nTencent -\u003e Win32.Trojan.Filecoder.Dvzl\r\nВариант от 3 февраля 2021:\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 20 of 27\n\nРасширение: .MILIHPEN\r\nЗаписка: MILIHPEN-INSTRUCT.txt\r\nМьютекс: MILIHPEN\r\nВариант от 3 февраля 2021:\r\nРасширение: .DERZKO\r\nЗаписка: DERZKO-HELP.txt\r\nМьютекс: DERZKO\r\nВариант от 5 марта 2021: \r\nРасширение: .GANGBANG\r\nМаркер файлов: GANGBANG\r\nЗаписка: GANGBANG-NOTE.txt\r\nEmail: Jeremyspineberg11@tutanota.com\r\nGeromeSkinggagard1999@tutanota.com\r\nJeremyspineberg11@protonmail.com\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.Encoder.32607\r\nBitDefender -\u003e Gen:Variant.Ransom.Nefilim.6\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Nemty.L\r\nMalwarebytes -\u003e Malware.AI.3980850489\r\nRising -\u003e Ransom.Encoder!8.FFD4 (CLOUD)\r\nTencent -\u003e Win32.Trojan.Falsesign.Dwtm\r\nTrendMicro -\u003e TROJ_FRS.VSNTCN21\r\nВариант от 20 апреля 2021:\r\nВерсия на языке Go. \r\nРасширение: .BENTLEY \r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 21 of 27\n\nЗаписка: BENTLEY-HELP.txt \r\nEmail: BENTLEY@icloud.com \r\nСайт: hxxx://corpleaks.net\r\nTor-URL: hxxx://hxt254aygrsziejn.onion\r\nФайл подписан: S.O.M GmbH \r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения\r\nDrWeb -\u003e Trojan.Encoder.33444\r\nBitDefender -\u003e Gen:Variant.Bulz.232846\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Nemty.M\r\nMicrosoft -\u003e Ransom:Win32/Nemty.STA\r\nRising -\u003e Trojan.MalCert!1.D23C (CLOUD)\r\nSymantec -\u003e Trojan.Gen.MBT\r\nTrendMicro -\u003e Ransom_Nemty.R002C0DDK21\r\nВариант от 13 мая 2021:\r\nРасширение: .NEFILIM\r\nЗаписка: NEFILIM-HELP.txt\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения\r\nDrWeb -\u003e Trojan.Encoder.33945\r\nALYac -\u003e Trojan.Ransom.Nefilim\r\nBitDefender -\u003e Trojan.GenericKD.36895898\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 22 of 27\n\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Nemty.M\r\nTrendMicro -\u003e Ransom.Win64.NEFILIM.SMA\r\nВариант от 12 июня 2021: \r\nРасширение: .KIANO\r\nЗаписка: KIANO-HELP.txt\r\nEmail: michaeldrumman1977@tutanota.com\r\njamescowworkingsa1988@tutanota.com\r\nmichaeldrumman1977@protonmail.com\r\nФайл: mma.exe \r\nРезультаты анализов: VT\r\n➤ Обнаружения\r\nDrWeb -\u003e Trojan.Encoder.34021\r\nBitDefender -\u003e Trojan.GenericKD.37085840\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Nemty.I\r\nKaspersky -\u003e Trojan-Ransom.Win32.SuspFile.n\r\nTrendMicro -\u003e TROJ_FRS.VSNTFC21\r\nВариант от 17 июня 2021:\r\nРасширение: .MANSORY\r\nЗаписка: MANSORY-MESSAGE.txt\r\nEmail: selawilsen2021@tutanota.com\r\ndennisdqalih35@tutanota.com\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 23 of 27\n\njosephpehrhart@protonmail.com\r\nСайт утечек: hxxx://corpleaks.net\r\nTOR-сайт: hxxx://hxt254aygrsziejn.onion\r\nРезультаты анализов: VT + AR + IA\r\n➤ Обнаружения \r\nDrWeb -\u003e Trojan.Encoder.34043\r\nBitDefender -\u003e Trojan.GenericKD.37123924\r\nMalwarebytes -\u003e Ransom.Nemty\r\nMicrosoft -\u003e Ransom:Win32/NefilimGo.STA\r\nTrendMicro -\u003e TROJ_GEN.R002H0DFH21\r\nВариант от 25 июня 2021:\r\nРасширение: .f1 \r\nЗаписка: f1-HELP.txt\r\nФайл: xxx.exe\r\nРезультаты анализов: VT\r\n➤ Обнаружения \r\nDrWeb -\u003e Trojan.Encoder.34087\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.Nemty.M\r\nTrendMicro -\u003e Ransom.Win32.NEFILIM.SMJC\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 24 of 27\n\nВариант от 2 сентября 2021: \r\nРасширение: .LEAKS\r\nЗаписка: LEAKS!!!DANGER.txt\r\nEmail: Dwightschuh@tutanota.com, Joannbeavers@protonmail.com, Ralphshaver@onionmail.org\r\nРезультаты анализов: VT + IA / VT + IA\r\nВариант от 27 октября 2021:\r\nРасширение: .PUSSY\r\nЗаписка: PUSSY!!!DANGER.txt\r\nEmail: Angiemerryman@tutanota.com, Robertoferris@protonmail.com, Allenmalone@onionmall.org\r\nФайл: xxx.exe\r\nРезультаты анализов: VT + TG\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 25 of 27\n\n➤ Содержание записки: \r\nTwo things have happened to your company.\r\n==================================================\r\nGigabytes of archived files that we deemed valuable or sensitive were downloaded from your network to a secure\r\nlocation.\r\nWhen you contact us we will tell you how much data was downloaded and can provide extensive proof of the data\r\nextraction. \r\nYou can analyze the type of the data we download on our websites.\r\nIf you do not contact us we will start leaking the data periodically in parts.\r\n==================================================\r\nWe have also encrypted files on your computers with military grade algorithms.\r\nIf you don't have extensive backups the only way to retrieve your data is with our software.\r\nRestoration of your data with our software requires a private key which only we possess.\r\n==================================================\r\nTo confirm that our decryption software works send 2 encrypted files from random computers to us via email.\r\nYou will receive further instructions after you send us the test files.\r\nWe will make sure you retrieve your data swiftly and securely and your data that we downloaded will be securely\r\ndeleted when our demands are met.\r\nIf we do not come to an agreement your data will be leaked on this website.\r\nWebsite: hxxx://corpleaks.net\r\nTOR link: hxxx://hxt254aygrsziejn.onion\r\nContact us via email:\r\nAngiemerryman@tutanota.com\r\nRobertoferris@protonmail.com\r\nAllenmalone@onionmail.org\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 26 of 27\n\nRead to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as Nefilim)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n MalwareHunterTeam, Michael Gillespie, GrujaRS\r\n Andrew Ivanov (author)\r\n Lawrence Abrams, Petrovic, xiaopao\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html\r\nPage 27 of 27",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html"
	],
	"report_names": [
		"nefilim-ransomware.html"
	],
	"threat_actors": [
		{
			"id": "20c759c2-cd02-45bb-85c6-41bde9e6a7cf",
			"created_at": "2024-01-18T02:02:34.189827Z",
			"updated_at": "2026-04-10T02:00:04.721082Z",
			"deleted_at": null,
			"main_name": "HomeLand Justice",
			"aliases": [
				"Banished Kitten",
				"Karma",
				"Red Sandstorm",
				"Storm-0842",
				"Void Manticore"
			],
			"source_name": "ETDA:HomeLand Justice",
			"tools": [
				"BABYWIPER",
				"BiBi Wiper",
				"BiBi-Linux Wiper",
				"BiBi-Windows Wiper",
				"Cl Wiper",
				"LowEraser",
				"No-Justice Wiper",
				"Plink",
				"PuTTY Link",
				"RevSocks",
				"W2K Res Kit"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434471,
	"ts_updated_at": 1775791900,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/a20be3d0fc8e3f6949ca30cd7bc2ac0c9559653d.pdf",
		"text": "https://archive.orkl.eu/a20be3d0fc8e3f6949ca30cd7bc2ac0c9559653d.txt",
		"img": "https://archive.orkl.eu/a20be3d0fc8e3f6949ca30cd7bc2ac0c9559653d.jpg"
	}
}