{
	"id": "7c3f1f2e-664f-4629-ba69-32b3ec9bb7a5",
	"created_at": "2026-04-06T00:11:56.805645Z",
	"updated_at": "2026-04-10T03:21:22.37137Z",
	"deleted_at": null,
	"sha1_hash": "f26c4e3503dbb5656bbcea62e3fc1eeac1caa3c6",
	"title": "Sadogo",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 243117,
	"plain_text": "Sadogo\r\nArchived: 2026-04-05 16:23:37 UTC\r\nSadogo Ransomware\r\nSadogo Cover-Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в #\r\nBTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет\r\nданных.\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31586, Trojan.Encoder.31587, Trojan.PWS.DanaBot.281\r\nBitDefender -\u003e Trojan.GenericKDZ.66633, Generic.Ransom.Sadogo.9412983E\r\nAvira (no cloud) -\u003e TR/AD.KpotSteal.ED\r\nESET-NOD32 -\u003e A Variant Of Win32/GenKryptik.EITE, A Variant Of Win32/GenKryptik.EITH\r\nMalwarebytes -\u003e Trojan.MalPack.GS\r\nRising -\u003e Trojan.Snojan!8.E387 (CLOUD), Trojan.GenKryptik!8.AA55 (CLOUD)\r\nSymantec -\u003e Trojan.Gen.2, Downloader\r\nTrendMicro -\u003e TROJ_GEN.R002H0CDK20\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!\r\n© Генеалогия: ??? \u003e\u003e Sadogo\r\nhttps://id-ransomware.blogspot.com/2020/04/sadogo-ransomware.html\r\nPage 1 of 6\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .encrypted\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nОбразцы этого крипто-вымогателя были найдены в середине апреля 2020 г. Штампы дат: 25 ноября 2018 и\r\n22 августа 2019, но они могут быть фиктивными датами. Ориентирован на англоязычных пользователей,\r\nчто не мешает распространять его по всему миру. \r\nЗаписка с требованием выкупа называется: readme.txt\r\nСодержание записки о выкупе:\r\nDear user! Your computer is encrypted!\r\nTo decrypt your computer, you need to download the TOR browser at https://www.torproject.org/download/\r\nInstall it and visit our website for further action http://reco3zanpd2ijycv.onion/\r\nYour id: daa1938***\r\nПеревод записки на русский язык:\r\nДорогой пользователь! Твой компьютер зашифрован!\r\nДля расшифровки твоего компьютера тебе надо скачать браузер TOR из\r\nhttps://www.torproject.org/download/\r\nУстанови его и посети наш сайт для дальнейших действий http://reco3zanpd2ijycv.onion/\r\nТвой id: daa1938***\r\nТехнические детали\r\nНа момент написания статьи нет никаких данных о распространении и пострадавших. Может\r\nраспространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и\r\nвредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nhttps://id-ransomware.blogspot.com/2020/04/sadogo-ransomware.html\r\nPage 2 of 6\n\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Вероятно используется в качестве прикрытия (англ. cover) для распространения инфекции трояна Kpot,\r\nа не для получения выкупных платежей. Троян Kpot предназначен для кражи различной личной\r\nинформации, включая учетные данные из установленных приложений и браузеров, игровых клиентов,\r\nпочты и других служб, включая кошельки электронных платежных систем и хранения криптовалюты.\r\nУкраденная информация отправляется на сайт злоумышленников. Подобный метод использовался в\r\nCoronaVirus Ransomware в марте 2020. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nreadme.txt - название файла с требованием выкупа\r\nsadogo.pdb\r\ntor.exe\r\n7f77.tmp.exe (soft.exe)\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\gicoxubusofumo89-nosunaxo28\\cefukifogurakamilewi8\\loba\\sadogo.pdb\r\nC:\\majuzicehoxa_sujoya viratedof-cawanojaboza17_yayujo tel.pdb\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nURL: xxxx://45.63.123.237/\r\nxxxx://45.63.123.237/tor.exe\r\n237.123.63.45.in-addr.arpa\r\nhttps://id-ransomware.blogspot.com/2020/04/sadogo-ransomware.html\r\nPage 3 of 6\n\nСсылка для ввода данных на указанном сайте\r\nАдреса из свойств анализируемого файла\r\nTor-URL: xxxx://reco3zanpd2ijycv.onion/\r\nСкриншот с Tor-сайта вымогателей\r\nEmail:\r\nBTC:\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2020/04/sadogo-ransomware.html\r\nPage 4 of 6\n\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 12 мая 2020:\r\nПост в Твиттере \u003e\u003e - ошибочно указан как Payment45 Ransomware\r\nРасширение: .encrypted\r\nЗаписка: readme.txt\r\nTor-URL: xxxx://reco3zanpd2ijycv.onion/\r\nРезультаты анализов: VT + IA\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as Sadogo)\r\n Write-up, Topic of Support\r\n *\r\nhttps://id-ransomware.blogspot.com/2020/04/sadogo-ransomware.html\r\nPage 5 of 6\n\nThanks:\r\n dnwls0719\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/04/sadogo-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/04/sadogo-ransomware.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/04/sadogo-ransomware.html"
	],
	"report_names": [
		"sadogo-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434316,
	"ts_updated_at": 1775791282,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/f26c4e3503dbb5656bbcea62e3fc1eeac1caa3c6.pdf",
		"text": "https://archive.orkl.eu/f26c4e3503dbb5656bbcea62e3fc1eeac1caa3c6.txt",
		"img": "https://archive.orkl.eu/f26c4e3503dbb5656bbcea62e3fc1eeac1caa3c6.jpg"
	}
}