{
	"id": "1267be72-bc06-4e55-beb1-db17603905ed",
	"created_at": "2026-04-06T00:14:07.672454Z",
	"updated_at": "2026-04-12T02:21:53.714569Z",
	"deleted_at": null,
	"sha1_hash": "ff08c5053203a107e0fa75cff557f8cd231d49c6",
	"title": "TheCursedMurderer",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 349988,
	"plain_text": "TheCursedMurderer\r\nArchived: 2026-04-05 22:41:24 UTC\r\nTheCursedMurderer Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC,\r\nчтобы вернуть файлы. Оригинальное название: The_Cursed_Murderer. На файле написано: AppGive.exe.\r\nНаписан на языке программирования Python.\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.30950\r\nALYac -\u003e Trojan.Ransom.Python\r\nBitDefender -\u003e Trojan.Agent.ELBN\r\nESET-NOD32 -\u003e Python/Filecoder.DA\r\nMicrosoft -\u003e Trojan:Win32/Wacatac.C!ml\r\nTrendMicro -\u003e Ransom_Crypren.R002C0WB320\r\nSymantec -\u003e Trojan.Gen.MBT\r\n---\r\nTo AV vendors! Want to be on this list regularly or be higher on the list? Contact me! \r\nAV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! \r\n© Генеалогия: выясняется, явное родство с кем-то не доказано.\r\nИзображение — логотип статьи\r\nhttps://id-ransomware.blogspot.com/2020/01/thecursedmurderer-ransomware.html\r\nPage 1 of 6\n\nК зашифрованным файлам добавляется расширение: .aes\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: instructions.txt\r\nСодержание записки о выкупе:\r\nAll your file are encrypted. DONT'T TRY ANYTHING. You must paid me 100$ to this bitcoin address :\r\n12DxeuYEpeLwrU3KnKZNzB6hmeBu1dE2bC.\r\nYou have 7 days (21 (minutes): 18 (hours): 9 (days) max).\r\nAs soon as you pay you just have to send an email to this address : iknowyouandiseeyou@protonmail.ch\r\nwith a proof of payment, the code and this id : 12345\r\nand I will send you a zip file containing the key, the instructions and the deciphering file.\r\nIf you do not pay in revenche, I will be forced to send your address on darknet forums.\r\nThe Cursed Murderer.\r\nПеревод записки на русский язык:\r\nВсе ваши файлы зашифрованы. НЕ ПЫТАЙТЕСЬ. Вы должны заплатить мне 100$ на этот биткойн-адрес:\r\n12DxeuYEpeLwrU3KnKZNzB6hmeBu1dE2bC.\r\nУ вас есть 7 дней (21 (минут): 18 (часов): 9 (дней) макс).\r\nКак только заплатите, вам нужно отправить email на этот адрес: iknowyouandiseeyou@protonmail.ch\r\nс подтверждением платежа, кодом и этим id: 12345\r\nи я вышлю вам zip-файл, содержащий ключ, инструкции и расшифрованный файл.\r\nЕсли вы не заплатите, я буду вынужден выложить ваш адрес на форумах даркнета.\r\nПроклятый убийца.\r\nДругим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.\r\nhttps://id-ransomware.blogspot.com/2020/01/thecursedmurderer-ransomware.html\r\nPage 2 of 6\n\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ При запуске наблюдаются ошибки. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nЗашифрованные файлы получают оригинальную иконку. Такой прием мы уже видели раньше в другом\r\nRasomware. Возможно, что TheCursedMurderer связан с предыдущим. \r\nhttps://id-ransomware.blogspot.com/2020/01/thecursedmurderer-ransomware.html\r\nPage 3 of 6\n\nФайлы, связанные с этим Ransomware:\r\ninstructions.txt - название текстового файла\r\nAppGive.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: iknowyouandiseeyou@protonmail.ch\r\nBTC: 12DxeuYEpeLwrU3KnKZNzB6hmeBu1dE2bC\r\nURL-сайт для загрузки изображения:  xxxx://image.noelshack.com/\r\nИзображение, использованное вымогателями не является оригинальным. Оно взято с сайта,\r\nпредоставляющего обои в разном разрешении.\r\nURL с оригинальным изображением: xxxxs://www.wallpaperflare.com/sword-art-online-sword-art-online-ii-death-gun-sword-art-online-wallpaper-zhnw\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nhttps://id-ransomware.blogspot.com/2020/01/thecursedmurderer-ransomware.html\r\nPage 4 of 6\n\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nЕщё не было обновлений этого варианта.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as ***)\r\n Write-up, Topic of Support\r\n *\r\nhttps://id-ransomware.blogspot.com/2020/01/thecursedmurderer-ransomware.html\r\nPage 5 of 6\n\nThanks:\r\n Jirehlov, GrujaRS\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/01/thecursedmurderer-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/01/thecursedmurderer-ransomware.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/01/thecursedmurderer-ransomware.html"
	],
	"report_names": [
		"thecursedmurderer-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434447,
	"ts_updated_at": 1775960513,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/ff08c5053203a107e0fa75cff557f8cd231d49c6.pdf",
		"text": "https://archive.orkl.eu/ff08c5053203a107e0fa75cff557f8cd231d49c6.txt",
		"img": "https://archive.orkl.eu/ff08c5053203a107e0fa75cff557f8cd231d49c6.jpg"
	}
}