{
	"id": "e94f25ef-42c4-4365-92f9-660c9e9090fd",
	"created_at": "2026-04-06T00:07:53.06412Z",
	"updated_at": "2026-04-10T03:28:24.332229Z",
	"deleted_at": null,
	"sha1_hash": "c10982c5294c8be7e1831e120134ac7e62188e37",
	"title": "AnteFrigus",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 343395,
	"plain_text": "AnteFrigus\r\nArchived: 2026-04-02 11:56:24 UTC\r\nAnteFrigus Ransomware\r\n(шифровальщик-вымогатель) (первоисточник на русском)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $1.995,\r\nкоторый увеличивается через 4 дня до $3.990. Оригинальное название: AnteFrigus. На файле написано: нет\r\nданных. \r\nОбнаружения:\r\nDrWeb -\u003e Trojan.PWS.Siggen2.38675, Trojan.Encoder.30119\r\nBitDefender -\u003e Trojan.GenericKD.32711050\r\nALYac -\u003e Trojan.Ransom.AnteFrigus\r\nAvira (no cloud) -\u003e TR/Crypt.Agent.yyhfq\r\nESET-NOD32 -\u003e A Variant Of Win32/Kryptik.GYHS\r\nKaspersky -\u003e Trojan.Win32.Zenpak.rbj\r\nMalwarebytes -\u003e Trojan.MalPack.GS\r\n© Генеалогия: AnteFrigus \u003e Prometey\r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .\u003crandom\u003e\r\nhttp://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html\r\nPage 1 of 9\n\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало ноября 2019 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру. \r\nЗаписка с требованием выкупа называется: \u003crandom\u003e-readme.txt\r\nНапример:\r\nhssjyh-readme.txt\r\njbptlio-readme.txt\r\nСодержание записки о выкупе:\r\n $$$$ $$ $$ $$$$$$ $$$$$ $$$$$$ $$$$$ $$$$$$ $$$$ $$ $$ $$$$\r\n$$ $$ $$$ $$ $$ $$ $$ $$ $$ $$ $$ $$ $$ $$\r\n$$$$$$ $$ $$$ $$ $$$$ $$$$ $$$$$ $$ $$ $$$ $$ $$ $$$$\r\n$$ $$ $$ $$ $$ $$ $$ $$ $$ $$ $$ $$ $$ $$ $$\r\n$$ $$ $$ $$ $$ $$$$$ $$ $$ $$ $$$$$$ $$$$ $$$$ $$$$\r\n[+] Whats Happen ? [+]\r\nYour files are encrypted, and currently unavailable.You can check it : all files on you computer has\r\nBy the way, everything is possible to recover(restore), but you need to follow our instructions.Othe\r\n[+] What guarantees ? [+]\r\nIts just a business.We absolutely do not care about youand your deals, except getting benefits.If we\r\nTo check the ability of returning files, You should go to our website.There you can decrypt one file\r\nIf you will not cooperate with our service - for us, its does not matter.But you will lose your timea\r\n[+] How to get access on website ? [+]\r\nYou have two ways :\r\n1)[Recommended] Using a TOR browser!\r\na) Download and install TOR browser from this site: https://torproject.org/\r\nhttp://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html\r\nPage 2 of 9\n\nb) Open our website : http://yboa7nidpv5jdtumgfm4fmmvju3ccxlleut2xvzgn5uqlbjd5n7p3kid.onion/?hssjyh\r\n (If you can’t follow the link or other difficulty write to the technical support email : antefrigus\r\n 2) If TOR blocked in your country, try to use VPN! For this:\r\n a) Open any browser (Chrome, Firefox, Opera, IE, Edge) and download and install free VPN programm an\r\n b) If you are having difficulty purchase bitcoins, or you doubt in buying decryptor, contact to any\r\n When you open our website, put the following data in the input form:\r\nKey:\r\nPjg/ODo4PD08PD87OTg5Nyhoa3RwdShvenpxgG8oSkEnOTw8Njk4OidOaUM2aXlFJw==\r\nExtension name :\r\nhssjyh\r\n---------------------------------------------------------------------------------------- -\r\n!!!DANGER !!!\r\nDONT try to change files by yourself, DONT use any third party software for restoring your data or an\r\n!!!!!!!!!\r\nONE MORE TIME : Its in your interests to get your files back.From our side, we(the best specialists)\r\n!!!!!!!!!\r\nПеревод записки на русский язык:\r\n[+] Что случилось? [+]\r\nВаши файлы зашифрованы и сейчас недоступны. Вы можете проверить это: все файлы на вашем\r\nкомпьютере имеют расширение hssjyh.\r\nКстати, все можно восстановить (вернуть), но вы должны следовать нашим инструкциям. В противном\r\nслучае вы не можете вернуть свои данные (НИКОГДА).\r\n[+] Какие гарантии? [+]\r\nЭто просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы\r\nне выполняем свою работу и обязательства - никто не будет сотрудничать с нами. Это не в наших\r\nинтересах.\r\nЧтобы проверить возможность возврата файлов, вы должны зайти на наш сайт. Там вы можете бесплатно\r\nрасшифровать один файл. Это наша гарантия.\r\nЕсли вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое\r\nвремя и данные, ведь только у нас есть закрытый ключ. На практике время гораздо ценнее денег.\r\n[+] Как получить доступ на сайт? [+]\r\nУ вас есть два пути:\r\n1) [Рекомендуется] Использовать браузер TOR!\r\nа) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/\r\nб) Откройте наш веб-сайт: http://yboa7nidpv5jdtumgfm4fmmvju3ccxlleut2xvzgn5uqlbjd5n7p3kid.onion/?\r\nhssjyh\r\n  (Если вы не можете перейти по ссылке или по другим причинам, напишите на электронную почту\r\nтехнической поддержки: antefrigus@cock.li)\r\n 2) Если TOR заблокирован в вашей стране, попробуйте использовать VPN! За это:\r\n а) Откройте любой браузер (Chrome, Firefox, Opera, IE, Edge), загрузите и установите бесплатную\r\nпрограмму VPN и загрузите браузер TOR с этого сайта https://torproject.org/\r\n  б) Если у вас возникли трудности с покупкой биткойнов или вы сомневаетесь в покупке расшифровщика,\r\nhttp://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html\r\nPage 3 of 9\n\nобратитесь в любую компанию по восстановлению данных в вашей стране, которая предоставит вам\r\nбольше гарантий и возьмет на себя процедуру покупки и расшифровки. Почти все такие компании\r\nслышали о нас и знают, что наша программа расшифровки работает, поэтому они могут вам помочь.\r\n Когда вы открываете наш сайт, введите следующие данные в форму ввода:\r\nКлюч:Pjg/ODo4PD08PD87OTg5Nyhoa3RwdShvenpxgG8oSkEnOTw8Njk4OidOaUM2aXlFJw==\r\nНазвание расширения:\r\nhssjyh---------------------------------------------------------------------------------------- -\r\n!!!ОПАСНОСТЬ !!!\r\nНЕ пытайтесь изменить файлы самостоятельно, НЕ используйте любую стороннюю программу для\r\nвосстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение\r\nличного ключа и, как результат, потерю всех данных.\r\n!!!!!!!!!ЕЩЕ РАЗ: В ваших интересах вернуть ваши файлы. Со своей стороны мы (лучшие специалисты)\r\nделаем все для восстановления, но, пожалуйста, не мешайте.\r\n!!!!!!!!!\r\n---\r\nЗаписка о выкупе также сохраняется в специальной папке на диске С:\r\nC:\\Instraction\\\r\nСкриншоты сайта вымогателей:\r\nhttp://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html\r\nPage 4 of 9\n\nТехнические детали\r\nРаспространяется с помощью вредоносной рекламной кампании HookAds, вредоносная реклама которой\r\nтеперь перенаправляет пользователей на веб-страницы с набором эксплойтов RIG. На инфицированном\r\nПК разворачивается вредоносный элемент, который устанавливает шифровальщик AnteFrigus. В 2018\r\nгоду HookAds распространяла GlobeImposter. На момент написания этой статьи рекламная кампания\r\nHookAds уже продолжается несколько лет (с 2016 года), и каждый день регистрируются новые\r\nмошеннические рекламные домены.\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (RIG EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные\r\nспособы распространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ В отличие от других вымогателей, AnteFrigus не предназначен для диска \"C\", а только для других\r\nдисков, в описанном примере его целями были съемные устройства и подключенные сетевые диски (буквы\r\nдисков из кода  D:, E:, F:, G:, H:, I:).\r\nhttp://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html\r\nPage 5 of 9\n\n➤ Для определения IP ПК используется сайт: \r\nxxxx://iplogger.org/10UJ73\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nВсе файлы, кроме пропускаемых. \r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nПропускаемые типы файлов: \r\n.adv, .ani, .bat, .big, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe,\r\n.hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls,\r\n.nomedia, .ocx, .pck, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx (49 расширений). \r\nФайлы, связанные с этим Ransomware:\r\n\u003crandom\u003e-readme.txt - шаблон записки\r\nhssjyh-readme.txt - пример записки\r\ntest.txt - файл для блокировки или отладки. \r\nrad26628.tmp.exe - пример названия вредоносного файла\r\n\u003crandom\u003e.tmp.exe - шаблон названия вредоносного файла\r\nРасположения:\r\nC:\\Instraction\\\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nhttp://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html\r\nPage 6 of 9\n\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL: xxxx://yboa7nidpv5jdtumgfm4fmmvju3ccxlleut2xvzgn5uqlbjd5n7p3kid.onion/\r\nEmail: antefrigus@cock.li\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e  VT\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 10 февраля 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширения: .eaaeee, .bbadc\r\nЗаписки: CLICK_HERE-eaaeee.txt, CLICK_HERE-bbadc.txt\r\nURL: xxxxs://recovery-help.top/online-chat/\r\nTor-URL: xxxx://i6jppiczqa5moqf157gssi33npwfseqppdsnz7rriiv7suf4pf4w42id.onion\r\nРезультаты анализов: VT + IA + VMR\r\nhttp://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html\r\nPage 7 of 9\n\nОбновление от 30 марта 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширения: .aceadf, .daaefc, .feeef\r\nЗаписки: ATTENTION-aceadf-README.txt\r\nATTENTION-daaefc-README.txt\r\nATTENTION-feeef-README.txt\r\nURL: xxxx://restore-now.top/online-chat/\r\nTor-URL: xxxx://i6jppiczqa5moqfl57gssi33npwfseqppdsnz7rriiv7suf4pf4w42id.onion\r\nФайл EXE: directx_update.exe\r\nРезультаты анализов: VT + AR + IA + VMR + TG\r\n \r\n➤ Содержание записки: \r\nSorry, but your files are locked due to a critical error in your system. If you yourself want to decrypt the files - you\r\nwill lose them FOREVER.\r\nYou have to pay BITCOINS to get your file decoder. DO NOT TAKE TIME, you have SEVERAL DAYS to pay,\r\notherwise the cost of the decoder will double. How to do it is written below.\r\nIf you cannot do it yourself, then search the Internet for file recovery services in your country or city.\r\nGo to the page through the browser: http://restore-now.top/online-chat/ \r\nIf your site does not open, then download the TOR browser (https://torproject.org/). If you can’t access the\r\ndownload page of the TOR browser, then download the VPN!\r\nhttp://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html\r\nPage 8 of 9\n\nAfter you install the TOR browser on your computer go to the site:\r\nhttp://i6jppiczqa5moqfl57gssi33npwfseqppdsnz7rriiv7suf4pf4w42id.onion\r\nAfter going to the site, enter the information:\r\nYour ID: 32476*****\r\nPersonal key: a2hobG1qKGhrdHB1KDo5Oz49OTk4PTcoSkEnOTw8Njk5OCdOaUM2a*****==\r\nYour Email\r\nОбновление от 19 января 2020:\r\nРезультаты анализов: VT + IA\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as AnteFrigus)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n GrujaRS, mol69, Michael Gillespie, Lawrence Abrams\r\n Andrew Ivanov (author), Emmanuel_ADC-Soft, S!Ri\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: http://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html\r\nhttp://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"http://id-ransomware.blogspot.com/2019/11/antefrigus-ransomware.html"
	],
	"report_names": [
		"antefrigus-ransomware.html"
	],
	"threat_actors": [
		{
			"id": "4f39c998-5861-4f35-ac24-095653a8b615",
			"created_at": "2023-01-06T13:46:38.836253Z",
			"updated_at": "2026-04-10T02:00:03.116935Z",
			"deleted_at": null,
			"main_name": "HookAds",
			"aliases": [],
			"source_name": "MISPGALAXY:HookAds",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434073,
	"ts_updated_at": 1775791704,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c10982c5294c8be7e1831e120134ac7e62188e37.pdf",
		"text": "https://archive.orkl.eu/c10982c5294c8be7e1831e120134ac7e62188e37.txt",
		"img": "https://archive.orkl.eu/c10982c5294c8be7e1831e120134ac7e62188e37.jpg"
	}
}