{
	"id": "35b67336-e7f6-49c6-8f04-a48d693b3516",
	"created_at": "2026-04-06T00:20:04.991885Z",
	"updated_at": "2026-04-10T13:12:43.350322Z",
	"deleted_at": null,
	"sha1_hash": "a74c97d37faa6250c40358de7a4d67d84c1d2065",
	"title": "Maze, ChaCha",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1299845,
	"plain_text": "Maze, ChaCha\r\nArchived: 2026-04-05 16:25:57 UTC\r\nMaze Ransomware\r\nAliases: Maze Locker, MazeLocker, ChaCha, ChaChaLocker\r\nMaze Doxware\r\n(шифровальщик-вымогатель, публикатор) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью RSA + ChaCha20,\r\nа затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано.\r\nХакеры-вымогатели: Twisted Spider Extortion Group. Среди вымогателей есть граждане Украины, по\r\nдругим данным это международная хакерская группа. \r\nСмотрите видеообзор \u003e\u003e\r\nВымогатели, распространяющие Maze, могут публиковать украденные данные с целью усиления давления\r\nна жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают\r\nкражу данных ещё перед шифрованием файлов с помощью программных средств (doxware). Об этих\r\nакциях вымогателей сообщалось в СМИ. \r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Siggen8.29003, Trojan.Encoder.30067\r\nBitdefender -\u003e Gen:Heur.Ransom.Imps.1, Trojan.GenericKD.32704232\r\nMalwarebytes -\u003e Ransom.Maze\r\nSymantec -\u003e Trojan.Gen.MBT\r\nVBA32 -\u003e BScope.Trojan.Wacatac\r\n© Генеалогия: Maze \u003e Sekhmet \u003e Egregor\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 1 of 21\n\nОригинальный логотип Maze Ransomware\r\nЭтимология названия:\r\nВ ранних вариантах не было никакого  названия, потому мы использовали характерное слово ChaCha для\r\nназвания и статьи. Не было никакого изображения, заменяющее обои Рабочего стола, а в html-записке\r\nвместо названия было нечто, сообщающее о системной ошибке: 0010 SYSTEM FAILURE 0010.  Именно\r\nтак, зачеркнуто. Название на изображении, заменяющем обои, появилось в конце мая 2019, в более новых\r\nвариантах. \r\nК зашифрованным файлам добавляется расширение: .\u003crandom4-7\u003e\r\nПримеры других расширений:\r\n.rC0syGH\r\n.DL1fZE\r\n.LKc07P\r\n.FBrRDWC\r\n.t6brFnQ\r\n.0HOgD\r\n.MJNW\r\nПри этом, на одном ПК могут добавляться разные расширения к разным файлам. Принцип такой\r\nзависимости пока неясен. \r\nКроме того, в конец зашифрованных файлов добавляется маркер файлов: 0x66116166\r\nЭто видно на скриншотах ниже, где этот маркер присутствует в разных файлах из разных ПК. Возможно,\r\nчто это изменится позже, но на момент написания статьи и публикации это факт. \r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 2 of 21\n\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на первую половину мая 2019 г. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие\r\nбыли из США, дале список стран расширился. \r\nЦелевые отрасли: \r\nАкадемическая\r\nАвиация\r\nЭнергия\r\nФинансовые услуги\r\nПравительство\r\nЗдравоохранение\r\nПроизводство\r\nСредства массовой информации\r\nРозничная торговля\r\nТелекоммуникации\r\nТехнологии\r\nАвтомобильная промышленность\r\nи прочие. \r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 3 of 21\n\nЗаписка с требованием выкупа называется: DECRYPT-FILES.html\r\nСодержание записки о выкупе:\r\n0010 SYSTEM FAILURE 0010\r\n***************************\r\nAttention! Your documents, photos, databases, and other important files have been encrypted!\r\n***************************\r\nThe only way to decrypt your files, is to buy the private key from us.\r\nYou can decrypt one of your files for free, as a proof that we have the method to decrypt the rest of your data.\r\nIn order to receive the private key contact us via email: \r\ngetmyfilesback@airmail.cc \r\nRemember to hurry up, as your email address may not be avaliable for very long.\r\nBuying the key immediatly will guarantee that 100% of your files will be restored.\r\nBelow you will see a big base64 blob, you will need to email us and copy this blob to us.\r\nyou can click on it, and it will be copied into the clipboard.\r\nIf you have troubles copying it, just send us the file you are currently reading, as an attachment.\r\nBase64: \r\nM1ihuItJFJtvKrKaMGxt1UtaJoSTHI5dLA***\r\n---\r\nКрасным выделены слова с ошибками. \r\nПеревод записки на русский язык:\r\n0010 SYSTEM FAILURE 0010\r\n***************************\r\nВнимание! Ваши документы, фото, базы данных и другие важные файлы зашифрованы!\r\n***************************\r\nЕдинственный способ расшифровать ваши файлы - это купить у нас закрытый ключ.\r\nВы можете бесплатно расшифровать один из ваших файлов в доказательство, что у нас есть метод для\r\nрасшифровки остальных ваших данных.\r\nЧтобы получить закрытый ключ, контакт с нами по email:\r\ngetmyfilesback@airmail.cc\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 4 of 21\n\nНе забудьте поторопиться, т.к. ваш email-адрес может не будет доступен долго.\r\nПокупка ключа немедленно гарантирует, что 100% ваших файлов будут восстановлены.\r\nНиже вы увидите большой блоб base64, вам нужно будет написать нам на email и скопировать этот блок в\r\nписьмо.\r\nВы можете нажать на него, и он будет скопирована в буфер обмена.\r\nЕсли у вас возникли проблемы с копированием, просто отправьте нам файл, который вы сейчас читаете, в\r\nвиде вложения.\r\nBase64:\r\nM1ihuItJFJtvKrKaMGxt1UtaJoSTHI5dLA***\r\nДругим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. \r\nТехнические детали\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 5 of 21\n\nРаспространяется с помощью набора эксплойтов Fallout через фальшивый сайт Abra, выдавая себя за\r\nприложение для обмена криптовалюты. Этот сайт создан для того, чтобы выдавать себя за рекламодателя и\r\nпокупать трафик в рекламных сетях. Посетители этого сайта будут перенаправлены на специальную\r\nстраницу, начиненную наборов эксплойтов, которые срабатывают при определенных условиях.\r\nМожет также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, других эксплойтов, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Этот Ransomware определяет тип ПК (домашний компьютер, рабочая станция, контроллер домен,\r\nсервером и пр.), а затем показывает соответствующую сумму выкупа, в тексте которого будет использована\r\nодна из следующих строк: \r\nstandalone server\r\nserver in corporate network\r\nworkstation in corporate network\r\nhome computer\r\nprimary domain controller\r\nbackup server\r\nvery valuable for you\r\n➤ UAC не обходит. Требуется разрешение на запуск. \r\n➤ Шифровальщик пытается подключиться к 15 сайтам (случайные URL-адреса) по IP-адресу, который\r\nначинается с 92. Сайты могут относиться к разным странам. См. список ниже. \r\n \r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 6 of 21\n\n➤ Другие деструктивные действия:\r\nСоздает файлы и изменяет сертификаты в каталоге Windows.\r\nЗаписывает файлы в папку автозагрузки Word и меню Пуск.\r\nИзменяет файлы в папке расширения Chrome и читает куки, видимо с целью кражи личных данных.\r\n➤ Подключается к серверу без имени хоста.\r\n➤ Группа, стоящая за распространением Maze и атаками, не гнушается доксингом, т.е. с целью давления\r\nна жертв угрожаем им обнародованием в Интернете похищенной информации, если не будет выплачен\r\nвыкуп. \r\n➤ Запрограммирован так, что проверят язык, используемый в компьютере и если этот язык находится в\r\nбелом списке, то шифрование не производится. \r\nВ этом списке: русский, украинский, белорусский, таджикский, армянский, азербайджанский (латиница,\r\nкириллица), грузинский, казахский, киргизский, туркменский, узбекский (латиница, кириллица),\r\nтатарский, сербский (латиница, кириллица) и боснийский. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 7 of 21\n\nФайлы, связанные с этим Ransomware:\r\nDECRYPT-FILES.html\r\nfoo.dat\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\n%ProgramData%\\foo.dat\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: getmyfilesback@airmail.cc\r\nBTC: -\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e  VMR\u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: высокая.\r\nПодробные сведения собираются регулярно.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nMaze Ransomware - май 2019 - ноябрь 2020\r\nSekhmet Ransomware - март 2020 - октябрь 2020\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 8 of 21\n\nEgregor Ransomware -  сентябрь 2020 - февраль 2021\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 14-15 мая 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .\u003crandom{4-7}\u003e\r\nЗаписка: DECRYPT-FILES.html\r\nРезультаты анализов: VT + VMR\r\nТакже использует изображение, заменяющее обои Рабочего стола. \r\nВ текст записки добавляется имя пользователя. \r\nОбновление от 29 мая 2019:\r\nПост в  Твиттере \u003e\u003e\r\nСамоназвание: Maze Ransomware\r\nРасширение: .\u003crandom{4-7}\u003e\r\nEmail: koreadec@tutanota.com\r\nvourrealdecrypt@airmail.cc\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 9 of 21\n\nОбновление от 31 мая 2019:\r\nСамоназвание: Maze Ransomware\r\nРасширение: .\u003crandom{4-7}\u003e\r\nЗаписка: DECRYPT-FILES.html\r\nEmail: filedecryptor@nuke.africa\r\nРезультаты анализов: VT + VMR + IA + HA / VT + VMR\r\n \r\nВ статье Лоуренса Абрамса сообщается, что им обнаружен адрес bleepingcomputer.com в программной\r\nпамяти Maze Ransomware. Точная задача неясна. \r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 10 of 21\n\nОбновление от 17 октября 2019:\r\nПост в Твиттере \u003e\u003e\r\nСамоназвание: Maze Ransomware\r\nРасширение: .\u003crandom{4-7}\u003e\r\nЗаписка: DECRYPT-FILES.html\r\nРезультаты анализов: VT + IA + AR\r\nСкриншоты записки о выкупе и изображения, заменяющего обои Рабочего стола. \r\nВидеообзор, сделанный с помощью сайта ANY.RUN\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 11 of 21\n\nURL: hxxxs://mazedecrypt.top/***\r\nTor-URL: aoacugmutagkwctu.onion/***\r\nСкриншоты с сайта вымогателей. \r\nОбновление от 18 октября 2019:\r\nСтатья на сайте Bleeping Computer \u003e\u003e\r\nВ основном, представлен информация, опубликованная мною выше - 17 октября 2019. В дополнение к\r\nуказанным мною данным можно добавить следующее. \r\nMaze Ransomware теперь использует набор эксплойтов Spelevo в новой вредоносной кампании,\r\nиспользующей уязвимость Flash Player для атак на пользователей Сети. Ранее использовался набор\r\nэксплойтов Fallout. При перенаправлении на эксплойт Spelevo будет пытаться использовать уязвимость\r\nCVE-2018-15982. При этом уязвимыми будут пользователи Flash Player версий 31.0.0.153 / 31.0.0.108 и\r\nболее ранних. После успешной эксплуатации уязвимости набор эксплойта автоматически загрузит и\r\nустановит пейлоад с Maze Ransomware.\r\nОбновление от 21 октября 2019:\r\nПост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .\u003crandom{4-7}\u003e\r\nЗаписка: DECRYPT-FILES.txt\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 12 of 21\n\nURL: hxxxs://mazedecrypt.top/74980923c4ba3647\r\nTor-URL: hxxx://aoacugmutagkwctu.onion/74980923c4ba3647\r\nФайл: ESET32.EXE\r\nРезультаты анализов: VT + IA + AR / VT + AR\r\nСкриншоты с сайта mazedecrypt.top:\r\n \r\n \r\nСодержание первой страницы:\r\nTime is expired, fee was doubled.\r\n---\r\nTo recover your files, you must pay the fee.\r\nYour current fee 2400$ (USD)\r\nYou must hurry up because your 50% discount will expire after the counter at the top of this page will reach zero.\r\nIf you fail to pay until that time, the fee will be increased x2 (doubled), so if it was 2400 USD it will become 4800\r\nUSD.\r\nYou can send the money in chunks (parts), the fee will be recalculated on each successful transaction.\r\nTransaction will be completed after 3 confirmations from the network.\r\nTo pay the fee you must buy bitcoin, and send exactly this amount of btc 0.3221922 BTC to address:\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 13 of 21\n\n3NQ1JyX5iphB9PhAyawMCkyS8iV1xzoTpT\r\nTo see how to buy the bitcoins, click Buy Bitcoins at the tab menu on top of the page.\r\nWe are providing 3 test decrypts, to prove that we can recover your files.\r\nClick Test Decrypt at the menu on top of this the page to decrypt 3 files for free.\r\nAttention! We are decrypting only image files for free, as they do not have any significant value to you.\r\nОбновление от 29 октября 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .\u003crandom{4-7}\u003e\r\nЗаписка: DECRYPT-FILES.txt\r\nРезультаты анализов: VT + AR + IA\r\nОбновление от 6 ноября 2019:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .\u003crandom{4-7}\u003e\r\nЗаписка: DECRYPT-FILES.txt\r\nОбновление от 11-14 ноября 2019:\r\nПост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .\u003crandom{4-7}\u003e\r\nЗаписка: DECRYPT-FILES.txt\r\nФайл: eset.exe\r\nРезультаты анализов: VT + HA + VMR / VT\r\nОбновление от 12 декабря 2019 года:\r\nСтатья от Emsisoft \u003e\u003e\r\nОтчет и статистика о причиненном ущербе в США в 2019 году.\r\n=== 2020 ===\r\nОбновление от 29-30 января 2020:\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 14 of 21\n\nВ коде есть обращение к исследователям.\r\nKremez and Hasherezade. Two polish researchers. Why are still not married?\r\nCryptolnsane, be careful or we will lock your college and rename maze to Cryptolnsane ransomware\r\nWhat if we pay some niggaman to throw Molotov to southwire office?\r\n---\r\nИ еще одно разъяснение...\r\nТеперь в записке сообщается о том, что нужно посмотреть в Гугле, что случилось с данными тех, кто не\r\nзаплатил выкуп: компании Southwire, MDLab, город Pensacola.\r\nОбновление от 5 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nТекст на английском:\r\nMaze Team official press release. June 22, 2020\r\nMaze Team is working hard on collecting and analyzing the information about our clients and their work. We also\r\nanalyzing the post attack state of our clients How fast they were able to recover after the successful negotiations or\r\nwithout cooperation at all. \r\nToday we would like to tell some words about the cost of non-cooperation and about our clients who were trying\r\nto recover all the information themselves. Looking ahead all those attempts were more close to suicide than to\r\nrecovery. \r\nSo the company was attacked and the files were blocked and encrypted. What are the worst mistakes the company\r\ncan made?\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 15 of 21\n\nMaze Locker can't be decrypted without the help of Maze Team. A few companies we are not going to name were\r\ntrying to decrypt the files with the help of side organizations. Those organizations are well known security\r\ncompanies. That happened at the end of 2019 and they are still waiting for a solution. As we know, compared to\r\nthe first offer of Maze Team, those companies already paid two and a half times more money. One of those\r\ncompanies already spend four times more trying to decrypt the files themselves.\r\nAnd we guarantee that it would take them years to wait until decryption.\r\nBut encrypting files is not the main risk. If the company have chosen to make a long pause in its operations this is\r\nthe company's right But sometimes companies can't understand the risk of information leak, especially the private\r\ninformation We are specializing in client's private information, financial information, databases, credit card data.\r\nNDA documents and all the company's researches.\r\nUsually that kind of information leaks will lead for multimillion losses, fines and lawsuits. And don't forget about\r\nthe lost profit and falling of the stock price.\r\nAs we know from the reports of our clients the average recovery costs are about $60M We have never asked for\r\namounts even close to those.\r\nAccording to our statistics the loss from lawsuits and fines varies from $18M to $47M. As we know from one of\r\nour clients, in one week he loosed $12M while his files were in open access. For large companies the average lost\r\nif about $50M-60M after the publication of private data. A few very large companies have lost from $250M to\r\n$350M.\r\nWhile hiring the negotiators from the side, especially the those who work on government, and listening to what\r\nthey tell you, try to think are they really interested in solving your problems or they are just thinking about their\r\nown profit and ambitions of the government agency they belong to They can't minimize your loss or eliminate the\r\ndata breach You'll pay from your own pocket.\r\nBut you will be able to find yourself in a statistics of companies who were proudly refuse to pay to minimize the\r\nloss of attack.\r\n ***\r\nПеревод текста на русский:\r\nОфициальный пресс-релиз Maze Team. 22 июня 2020 г.\r\nКоманда Maze собирает и анализирует информацию о наших клиентах и их работе. Мы также анализируем\r\nсостояние наших клиентов после атаки. Как быстро они смогли восстановиться после успешных\r\nпереговоров или вообще без сотрудничества.\r\nСегодня мы хотели бы сказать несколько слов о цене отказа от сотрудничества и о наших клиентах,\r\nкоторые пытались восстановить всю информацию самостоятельно. Заглядывая вперед, все эти попытки\r\nбыли ближе к суициду, чем к восстановлению.\r\nТаким образом, компания была атакована, а файлы были заблокированы и зашифрованы. Какие худшие\r\nошибки может совершить компания?\r\nMaze Locker не может быть расшифрован без помощи команды Maze. Несколько компаний, которые мы не\r\nхотим называть, пытались расшифровать файлы с помощью сторонних организаций. Эти организации\r\nявляются хорошо известными security-компаниями. Это произошло в конце 2019 года, и они все еще ждут\r\nрешения. Как известно, по сравнению с первым предложением Maze Team эти компании уже заплатили в\r\nдва с половиной раза больше денег. Одна из этих компаний уже потратила в четыре раза больше, пытаясь\r\nрасшифровать файлы самостоятельно.\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 16 of 21\n\nИ мы гарантируем, что им потребуются годы, чтобы дождаться расшифровки.\r\nНо шифрование файлов не является основным риском. Если компания решила сделать долгую паузу в\r\nсвоих операциях, это право компании. Но иногда компании не могут понять риск утечки информации,\r\nособенно частной информации. Мы специализируемся на личной информации клиента, финансовой\r\nинформации, базах данных, данных кредитной карты, документы NDA и все исследования компании.\r\nОбычно такие утечки информации приводят к многомиллионным убыткам, штрафам и судебным искам. И\r\nне забывайте о потерянной прибыли и падении курса акций.\r\nКак мы знаем из отчетов наших клиентов, средние затраты на восстановление составляют около 60\r\nмиллионов долларов. Мы никогда не просили суммы, даже близкие к этим.\r\nСогласно нашей статистике, убытки от судебных исков и штрафов варьируются от 18 до 47 миллионов\r\nдолларов. Как мы знаем от одного из наших клиентов, за одну неделю он потерял 12 миллионов долларов,\r\nкогда его файлы были в открытом доступе. Для крупных компаний средняя потеря составила около 50-60\r\nмлн долларов после публикации частных данных. Несколько очень крупных компаний потеряли от 250 до\r\n350 миллионов долларов.\r\nНанимая переговорщиков со стороны, особенно тех, кто работает на правительство, и слушая то, что они\r\nвам говорят, старайтесь думать, действительно ли они заинтересованы в решении ваших проблем или\r\nпросто думают о своей собственной прибыли и амбициях правительственного агентства. Они не могут\r\nминимизировать ваши потери или устранить утечку данных, которые вы заплатите из своего кармана.\r\nНо вы сможете оказаться в статистике компаний, которые гордо отказывались платить, чтобы\r\nминимизировать потери от атак.\r\n***\r\n---\r\nОбновление от 29 октября 2020:\r\nСтатья о закрытии вымогательского проекта \"Maze Ransomware\" и переход операторов-вымогателей на\r\n\"Egregor Ransomware\". \r\nВымогатели также подтверждили, что Maze, Sekhmet, Egregor являются их вымогательскими\r\nпрограммами. \r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 17 of 21\n\nБолее того, пострадавшие от Egregor после уплаты выкупа получают Sekhmet Decryptor.  \r\nОбновление от 1 ноября 2020:\r\nMaze Team официально объявили о своем закрытии. \r\nЯ также объявляю о закрытии этой темы и статьи. \r\nНовость от 9 февраля 2022\r\nПредставитель группы вымогателей выложил в общий доступ на форуме BleepingComputer ключи\r\nдешифрования для пострадавших от Maze, Sekhmet, Egregor Ransomware.   \r\nСсылка на скриншоте скрыта, чтобы не дать возможность использовать вредоносные файлы инфектора\r\nm0yv, которые были в архиве. \r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 18 of 21\n\nВнимание! \r\nТеперь есть дешифровщик \u003e\u003e\r\nВариант от 10 июня 2022:\r\nРасширение: .\u003crandom\u003e\r\nПример расширения: .wMbix3\r\nDECRYPT-FILES.txt\r\nTor-URL: hxxx://aoacugmutagkwctu.onion/486b0bd5c056dd08\r\nСайт: hxxxs://mazedecrypt.top/486b0bd5c056dd08\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 19 of 21\n\nRead to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as ChaCha)\r\n Write-up, Topic of Support\r\n 🎥 Video review \u003e\u003e\r\nEtt fel inträffade.\r\nDet går inte att köra JavaScript.\r\n - Видеообзор от Cyber Security GrujaRS\r\nAdded later:\r\nWrite-up by BleepingComputer (on May 31. 2019)\r\n*\r\n*\r\n Thanks:\r\n Michael Gillespie, GrujaRS\r\n Andrew Ivanov (author)\r\n *\r\n to the victims who sent the samples\r\n \r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 20 of 21\n\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html\r\nPage 21 of 21",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2019/05/chacha-ransomware.html"
	],
	"report_names": [
		"chacha-ransomware.html"
	],
	"threat_actors": [
		{
			"id": "e9f85280-337c-4321-b872-0919f8ef64a6",
			"created_at": "2022-10-25T16:07:24.261761Z",
			"updated_at": "2026-04-10T02:00:04.914455Z",
			"deleted_at": null,
			"main_name": "TA2101",
			"aliases": [
				"Gold Village",
				"Maze Team",
				"TA2101",
				"Twisted Spider"
			],
			"source_name": "ETDA:TA2101",
			"tools": [
				"7-Zip",
				"Agentemis",
				"BokBot",
				"Buran",
				"ChaCha",
				"Cobalt Strike",
				"CobaltStrike",
				"Egregor",
				"IceID",
				"IcedID",
				"Mimikatz",
				"PsExec",
				"SharpHound",
				"VegaLocker",
				"WinSCP",
				"cobeacon",
				"nmap"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "c3c864b3-fac9-4d56-8500-7c06c829fbf8",
			"created_at": "2023-01-06T13:46:39.071873Z",
			"updated_at": "2026-04-10T02:00:03.203749Z",
			"deleted_at": null,
			"main_name": "TA2101",
			"aliases": [
				"GOLD VILLAGE",
				"Storm-0216",
				"DEV-0216",
				"UNC2198",
				"TUNNEL SPIDER",
				"Maze Team",
				"TWISTED SPIDER"
			],
			"source_name": "MISPGALAXY:TA2101",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434804,
	"ts_updated_at": 1775826763,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/a74c97d37faa6250c40358de7a4d67d84c1d2065.pdf",
		"text": "https://archive.orkl.eu/a74c97d37faa6250c40358de7a4d67d84c1d2065.txt",
		"img": "https://archive.orkl.eu/a74c97d37faa6250c40358de7a4d67d84c1d2065.jpg"
	}
}