Reynolds

Reynolds Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Используется техника BYOVD (Bring Your Own Verificant Driver) для обхода средств защиты.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44391
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> Win64/Filecoder.Slug.A Trojan
Kaspersky -> Trojan-Ransom.Win32.Gen.cfmt
Microsoft -> Trojan:Win32/Etset!rfn
Rising -> Ransom.LockFile!8.12D75 (LESS:bWQ1OvC9sq3WKwGWpQ4l5F43DMU)
Tencent -> Win32.Trojan-Ransom.Gen.Ckjl
TrendMicro -> Ransom.Win64.REYNOLDS.THBAABF
---

© Генеалогия: родство выясняется >> Reynolds 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .locked

Записка с требованием выкупа называется: ___RestoreYourFiles___.txt

Содержание записки о выкупе:

All your important files have been encrypted!

Contact us for price and get decryption software.

You have 3 days to contact us for negotiation.

If you do not contact us within three days, we will attack you again and leak your files.

1) Contact our qtox.

session download address: https://qtox.github.io

Our poison ID:

6F7831EBB5EEB933275BD6F4B4AA888918E9B7E40454A477CADDE7EE02461153D3B77AE50798

* Note that this server is available via Tor browser only

Follow the instructions to open the link:

1. Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

2. Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

3. Now you have Tor browser. In the Tor Browser open :

http://bs2tlg32pfj***xumisfeory32qd.onion

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
___RestoreYourFiles___.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f0bdb2add62b0196a50e25e45e370cc5 

SHA-1: 6dae1c4879d951af60f26c56b8701a2c1a8cd550 

SHA-256: 6bd8a0291b268d32422139387864f15924e1db05dbef8cc75a6677f8263fa11d 

Vhash: 01503e0f7d1019z4!z 

Imphash: e0e1f2570066873a57b410327671b6da

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

GreenBlood

GreenBlood Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп, чтобы вернуть файлы. На файле написано: green.exe, sql_update.exe. Распространитель: THE GREEN BLOOD GROUP. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.44290
BitDefender -> Trojan.GenericKD.78769005
ESET-NOD32 -> WinGo/Filecoder.GreenBlood.A Trojan
Kaspersky -> Trojan-Ransom.Win32.Encoder.afyu
Malwarebytes -> Trojan.Dropper.GO
Microsoft -> Ransom:Win32/Avaddon.P!MSR
Rising -> Ransom.Agent!1.129F5 (CLASSIC)
Tencent -> Win32.Trojan-Ransom.Encoder.Ijgl
TrendMicro -> Ransom.Win32.ABBADON.USBLAU26
---

© Генеалогия: родство выясняется >> GreenBlood

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце января 2026 г. и продолжилась в марте 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .tgbg

Записка с требованием выкупа называется: !!!READ_ME_TO_RECOVER_FILES!!!.txt

Записка с требованием выкупа написана на экране блокировки: 
***

Содержание записки о выкупе:

YOUR FILES HAVE BEEN ENCRYPTED!

### TH3 GR33N BL00D GROUP ###

What happened?

All your important files (documents, photos, databases, etc.) have been encrypted 'enc++' using military-grade AES-256 encryption. Your files are now inaccessible and cannot be recovered without our decryption service.

Your unique identifiers:

• Recovery ID:

• Machine ID:

• Date/Time: 2026-01-29 06:48:59

• Files encrypted: .tgbg extension

How to recover your files:

1. Contact Us

2. Provide your Recovery ID and Machine ID

3. Follow the payment instructions (Bitcoin only)

4. After payment confirmation, you will receive the decryption tool

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!READ_ME_TO_RECOVER_FILES!!!.txt - название файла с требованием выкупа;
green.exe, sql_update.exe -  название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: scbrksw5fgjtujc2ah42roo6bij2unr2tggfcynpbql5a7yp3s22taid[.]onion:8000

Email: thegreenblood@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e760729dcee518659d9510ae1705db51 

SHA-1: f0336d1dad9615f3227bf7750d1cdfd3efa10008 

SHA-256: 12bba7161d07efcb1b14d30054901ac9ffe5202972437b0c47c88d71e45c7176 

Vhash: 0360f6655d15551555757az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Hyuna Lee, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ClearWater

ClearWater Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44197
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> Generik.DZGDAZR Trojan
Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypmod.gen
Microsoft -> Ransom:Win64/ClearWate.YBG!MTB
Rising -> Ransom.Agent!1.129F5 (CLASSIC)
TrendMicro -> Ransom_ClearWate.R002C0DAN26
---

© Генеалогия: родство выясняется >> ClearWater (CLEARWATER)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .clear

Записка с требованием выкупа называется: CLEARWATER_README.txt

Содержание записки о выкупе:

Your files have been encrypted by CLEARWATER Ransomware. Unluck :(

Do not attempt decryption or recovery without proper instructions or your data will be lost.

To contact us, write to this TOR address:

hxxx://b6rgpykvtyqah4q5tii25ouevr5g3u2s7pqc24jdlyhrfms3itljtkqd.onion/index.html?chat=409da0d0-125e-4b48-8a3b-6535ffbd4617

And remember, nothing personal, exclusively business!

Have a nice day, jolly Christmas and Happy New Year! :)

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CLEARWATER_README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://b6rgpykvtyqah4q5tii25ouevr5g3u2s7pqc24jdlyhrfms3itljtkqd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT 

MD5: d762a79258667ee965a32b2983a4339e 

SHA-1: 2f9dcef2b5a20fefb1a22b8e2b0a93fc0b48e2e4 

SHA-256: 7116b9e0dd107e20cf0169bdd5580a7d5ff0cae1bbdda77d1be92c66c4367901 

Vhash: 0261266d1555655c051d00c3z32z4456lz2fz 

Imphash: 3b90653d18aa7396b0a04211c3c6d3b2

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Hyuna Lee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sicari

Sicari Ransomware

Aliases: Sicarii, Sicarius

Sicari Ransomware Group

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Распространитель: Sicari Ransomware Group
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.Ransom.PKV
ESET-NOD32 -> Win64/Filecoder.AEV Trojan
Kaspersky -> HEUR:Exploit.Win32.BypassUAC.b
Malwarebytes -> Ransom.Sicarius
Microsoft -> Ransom:Win32/Avaddon.P!MSR
Rising -> Ransom.Agent!1.129F5 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.14a642b3
TrendMicro -> Ransom.Win64.SICARI.SMPI
---

© Генеалогия: родство выясняется >> Sicari

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце декабря 2025 г. Ориентирован на англоязычных пользователей, может распространяться в отдельно взятой стране или даже по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: README_SICARII_LOCKED.txt

Содержание записки о выкупе:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_SICARII_LOCKED.txt - название файла с требованием выкупа;

sicarii_wallpaper.bmp - изображение, заменяющее обои Рабочего стола;
Project3.exe, file.exe - названия вредоносных файлов.  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\sicarii_wallpaper.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:

sicariifoucvhyqg54smi3esg5sfcyw5z65t6yigqu4loyuoz62bb2id.onion

sicarilxx2br6esqnhad4w26bcgb5j2snbbnhyo4b6t7kby2oy4x3jad.onion

sicari7m63wlggfxajiuonfsk72fgencne5ztzakyuhfxzq5rnbkjead.onion

sicariktdbhjtrk6f2pwdh6wlequw7pcjva25skkzz4m3zz3opyox3qd.onion

sicari7zpu3mtxqggde7mu3ywppntdqg22arcukvlaihjbfcb2rnktid.onion

sicarinb4ktqcdpubjifzw3vixvzgtwacjmc5ks56kev52gxitegigad.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b8874058df485767451961e86cf52dce 

SHA-1: 04e18e6a11801456fffade6df99689c54d97d0a6 

SHA-256: 4104542714022cb6ef34e9ee5affca07b9a38dbee49748f8630c5f50a26db8b2 

Vhash: 0260a6551d15551d151d0193z22z8ehz33z31z91zb7z 

Imphash: b78e76e49402748ad77cc672c513626c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 PaduckLee, Bitshadow
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ShinySpider, Sh1nySp1d3r

ShinySpider Ransomware

Aliases: Sh1nySp1d3r, ShinySP1D3R, ShinyHunters

(шифровальщик-вымогатель, RaaS, группы хакеров-вымогателей, синдикат киберпреступников) (первоисточник на русском)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha20 + RSA-2048, а затем требует выкуп, чтобы вернуть файлы. Ответственные за атаки: ShinyHunters, ShinyCorp. 

Sh1nySp1d3r представляет собой услугу, которая атакует хосты VMware ESXi. Атака направлена ​​на среды гипервизоров для масштабного шифрования виртуальных машин, что усиливает воздействие, нарушая работу целых центров обработки данных и облачных стеков, а не отдельных конечных точек.

Синдикат киберпреступников ShinyHuntersв 2025 году расширил свою тактику, включив в нее голосовой фишинг с использованием искусственного интеллекта, взлом цепочек поставок и вербовку злоумышленников-инсайдеров.

Благодаря сотрудничеству с филиалами Scattered Spider и The Com группа теперь запускает сложные кампании по вишингу против платформ единого входа (SSO) в секторах розничной торговли, авиаперевозок и телекоммуникаций, извлекает огромные наборы данных клиентов и готовится к развертыванию новой программы-вымогателя «shinysp1d3r» как услуги (RaaS), нацеленной на среды VMware ESXi.

Получив доступ, злоумышленники похищают у пострадавших авиакомпаний данные клиентов объемом до 26 ГБ учетных записей пользователей и 16 ГБ записей контактов и угрожают вымогательством в размере семизначных сумм, часто публикуя украденные образцы на LimeWire, чтобы оказать давление на организации.

Лидер ShinyHunters, компания ShinyCorp, активно продает украденные наборы данных совместно с партнерами-вымогателями и другими преступниками, занимающимися электронной преступностью, по ценам, превышающим 1 миллион долларов за компанию.

---
Обнаружения: (нет публичных образцов для анализа)
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" идентифицирует Sh1nySp1d3r c 13-14 ноября 2025 г. 

Информация для идентификации

Активность этого крипто-вымогателя была в ноябре-декабре 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

При шифровании файлов программа-вымогатель использует алгоритм шифрования ChaCha20, а закрытый ключ защищен с помощью RSA-2048. Каждый файл будет иметь свое уникальное расширение. 

Каждый зашифрованный файл содержит заголовок, начинающийся с SPDR и заканчивающийся ENDS , как показано на изображении ниже. Этот заголовок содержит информацию о зашифрованном файле, включая имя файла, зашифрованный закрытый ключ и другие метаданные.

Записка с требованием выкупа называется (пример): R3ADME_1Vks5fYe.txt

Содержание записки о выкупе:

Другим информатором жертвы является изображение,заменяющее обои Рабочего стола.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
R3ADME_1Vks5fYe.txt - пример названия файла с требованием выкупа;

R3ADME_xxxxxxxx.txt - шаблон названия файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.