{
	"id": "76ceef6b-2b7c-43dd-85eb-ac4c2fec1a29",
	"created_at": "2026-04-06T00:17:53.468229Z",
	"updated_at": "2026-04-10T13:12:07.8167Z",
	"deleted_at": null,
	"sha1_hash": "2da7b8c79fad2f5ae76e1d3c01b94a68e8be82b8",
	"title": "BlackMatter",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 553401,
	"plain_text": "BlackMatter\r\nArchived: 2026-04-05 22:30:50 UTC\r\nBlackMatter Ransomware\r\n(шифровальщик-вымогатель, RaaS) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей с помощью Salsa20 + RSA-1024, а затем требует\r\nвыкуп в BTC или XMR (Monero), чтобы вернуть файлы. Оригинальное название: BlackMatter Ransomware. Группа\r\nвымогателей и их представитель на хакерских форумах называют себя BlackMatter. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.34207\r\nBitDefender -\u003e Gen:Heur.Mint.Zard.25\r\nESET-NOD32 -\u003e A Variant Of Generik.HLXFKFN\r\nKaspersky -\u003e Trojan-Ransom.Win32.Encoder.njw\r\nMalwarebytes -\u003e MachineLearning/Anomalous.96%\r\nMicrosoft -\u003e Ransom:Win32/Genasom\r\nRising -\u003e Trojan.Generic@ML.98 (RDML:JZF*\r\nSymantec -\u003e ML.Attribute.HighConfidence, Ransom.Blackmatter, Ransom.Blackmatter!gm1\r\nTrendMicro -\u003e TROJ_GEN.R06CH09GQ21\r\n---\r\n© Генеалогия: ✂ DarkSide, ✂ REvil, ✂ LockBit \u003e\u003e BlackMatter \u003e LockBit 3.0 (LockBit Black) с\r\nвариантами: CriptomanGizmo и другие.\r\nСайт \"ID Ransomware\" это идентифицирует как BlackMatter. \r\nИнформация для идентификации\r\nЭтот BlackMatter Ransomware был представлен на форумах кибер-андеграунда 21 июля 2021. Образец этого крипто-https://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 1 of 12\n\nвымогателя был найден в конце июля 2021 г. Ориентирован на англоязычных пользователей, может\r\nраспространяться по всему миру. Известно о пострадавших крупных организациях в США, Великобритании,\r\nКанаде, Австралии, Индии, Бразилии, Чили и Таиланде, и это далеко не весь список стран. \r\nК зашифрованным файлам добавляется случайное расширение: .\u003crandom_id\u003e\r\nПримеры таких расширений: \r\n.51yupKSuX\r\n.it2TiN2UtR \r\n.gxtrGRlr6\r\nПримечательно, что файлы могут шифроваться даже в Safe Mode (Безопасном режиме Windows). \r\nЗаписка с требованием выкупа называется: \u003crandom_id\u003e.README.txt\r\nПримеры таких записок: \r\n51yupKSuX.README.txt\r\ngxtrGRlr6.README.txt\r\nmaiOnZ3Or.README.txt\r\nДругим информатором жертвы является BMP-изображение с текстом, заменяющее обои Рабочего стола: \r\nЭто могут быть файлы:\r\n51yupKSuX.bmp\r\ngxtrGRlr6.bmp\r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 2 of 12\n\nmaiOnZ3Or.bmp\r\nСодержание записки о выкупе:\r\n   ~+                                       \r\n               *       +\r\n         '     BLACK        |\r\n     ()    .-.,='``'=.    - o -         \r\n           '=/_       \\     |           \r\n        *   |  '=._    |                \r\n             \\     `=./`,        '    \r\n          .   '=.__.=' `='      *\r\n +             Matter        +\r\n      O      *        '       .\r\n\u003e\u003e\u003e What happens?\r\n   Your network is encrypted, and currently not operational. We have downloaded 1TB from your fileserver.\r\n   We need only money, after payment we will give you a decryptor for the entire network and you will restore all the data.\r\n\u003e\u003e\u003e What guarantees? \r\n   We are not a politically motivated group and we do not need anything other than your money. \r\n   If you pay, we will provide you the programs for decryption and we will delete your data. \r\n   If we do not give you decrypters or we do not delete your data, no one will pay us in the future, this does not comply with\r\nour goals. \r\n   We always keep our promises.\r\n\u003e\u003e Data leak includes\r\n1. Full emloyeers personal data\r\n2. Network information\r\n3. Schemes of buildings, active project information, architect details and contracts, \r\n4. Finance info\r\n\u003e\u003e\u003e How to contact with us? \r\n   1. Download and install TOR Browser (https://www.torproject.org/).\r\n   2. Open hxxx://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion/7NT6LXKC1XQHW5039BLOV.\r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 3 of 12\n\n\u003e\u003e\u003e Warning! Recovery recommendations.  \r\n   We strongly recommend you to do not MODIFY or REPAIR your files, that will damage them.\r\nПеревод записки на русский язык:\r\n\u003e\u003e\u003e Что происходит?\r\n   Ваша сеть зашифрована и в настоящее время не работает. Мы скачали с вашего файлового сервера 1 ТБ.\r\n   Нам нужны только деньги, после оплаты мы вам дадим дешифратор на всю сеть и вы восстановите все данные.\r\n\u003e\u003e\u003e Какие гарантии?\r\n   Мы не политически мотивированная группа, и нам не нужно ничего, кроме ваших денег.\r\n   Если вы заплатите, мы дадим вам программы для расшифровки и удалим ваши данные.\r\n   Если мы не дадим вам дешифраторы или не удалим ваши данные, нам никто не заплатит в будущем, это не наши\r\nцели.\r\n   Мы всегда выполняем свои обещания.\r\n\u003e\u003e Утечка данных включает\r\n1. Полные личные данные сотрудников\r\n2. Сетевая информация\r\n3. Схемы зданий, информация об активном проекте, детали архитекторов и контракты,\r\n4. Финансовая информация\r\n\u003e\u003e\u003e Как с нами связаться?\r\n   1. Загрузите и установите браузер TOR (https://www.torproject.org/).\r\n   2. Откройте\r\nhxxx://supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion/7NT6LXKC1XQHW5039BLOV. \r\n\u003e\u003e\u003e Внимание! Рекомендации по восстановлению.\r\n   Мы настоятельно рекомендуем вам не МОДИФИЦИРОВАТЬ и НЕ ИСПРАВЛЯТЬ ваши файлы, это может их\r\nповредить.\r\nПолные скриншоты с сайта вымогателей\r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 4 of 12\n\nСтраница контактов до 28 июня 2021\r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 5 of 12\n\nИзменения на 28 июля 2021\r\nСодержание страницы \"CONTACT US\":\r\n New contacts\r\nWe invite journalists and recovery companies for registration on our platform. To register, click \"Contact us\".\r\nRules\r\nWe do not attack:\r\n    Hospitals.\r\n    Critical infrastructure facilities (nuclear power plants, power plants, water treatment facilities).\r\n    Oil and gas industry (pipelines, oil refineries).\r\n    Defense industry.\r\n    Non-profit companies.\r\n    Government sector.\r\nIf your company is on that list you can ask us for free decryption.\r\nAbout us\r\nWe are a team that unites people according to one common interest - money.\r\nWe provide the best service for our clients and partners compared to our competitors.\r\nWe rely on honesty and transparency in our dealings with our victims.\r\nWe never attack the company twice and always fulfill our obligations.\r\nWe invite the recovery companies to cooperate with, you can contact us through \"Contact Us\".\r\nПеревод страницы \"CONTACT US\":\r\nНовые контакты\r\n***\r\nПравила\r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 6 of 12\n\nМы не атакуем:\r\nБольницы.\r\nОбъекты критической инфраструктуры (атомные и электростанции, водоочистные сооружения).\r\nНефтегазовая промышленность (трубопроводы, нефтеперерабатывающие заводы).\r\nОборонная промышленность.\r\nНекоммерческие компании.\r\nГосударственный сектор.\r\nЕсли ваша компания находится в этом списке, вы можете попросить нас о бесплатной расшифровке.\r\nО нас\r\nМы - команда, объединяющая людей вокруг одного общего интереса - денег.\r\nМы предоставляем лучший сервис для наших клиентов и партнеров по сравнению с нашими конкурентами.\r\nМы полагаемся на честность и прозрачность в наших отношениях с нашими жертвами.\r\nМы никогда не атакуем компанию дважды и всегда выполняем взятые на себя обязательства.\r\nПриглашаем к сотрудничеству компании, занимающиеся восстановлением, вы можете связаться с нами через\r\n«Контакты».\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут\r\nбыть различия с первым вариантом. \r\nТехнические детали + IOC\r\nНа момент публикации этой статьи известно, что некто BlackMatter разместил объявления (фактически сделал\r\nрекламу) на форумах XSS и Exploit, несмотря на введенные на этих форумах в мае 2021 года запреты на рекламу и\r\nразмещение программ-вымогателей. Поэтому объявления позиционируются как поиск \"брокеров для начального\r\nдоступа\", то есть людей, которые имеют доступ к взломанным корпоративным сетям. Группа вымогателей\r\nBlackMatter нацелена на компании с доходом в 100 миллионов долларов и более. \r\nГруппировка BlackMatter называет брокерами тех, кто может предоставить им доступ к сетям крупных компаний с\r\nдоходом $100.000.000 в год или больше, с 500-15 000 хостами, базированием в США, Великобритании, Канаде,\r\nАвстралии. Представитель BlackMatter заявлет, что подходящим по вышеназванным критериям брокерам они\r\nготовы заплатить до $100.000 за эксклюзивный доступ к любой из подходящих сетей.\r\nПредставители BlackMatter внесли 4 BTC (около $150,000) на эскроу-счёт на форуме Exploit, что подтвердает\r\nсерьезность намерений злоумышленников, имеющих такую крупную сумму. \r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 7 of 12\n\nС момента открытия сайта утечек группа вымогателей с помощью своего BlackMatter Ransomware атаковала\r\nкритически важные объекты инфраструктуры США, включая центры анализа крови и организации в\r\nпродовольственном и сельскохозяйственном секторе.\r\nСогласно заявлениям представителя поставщиков-вымогателей на хакерских форумах, группа BlackMatter не будет\r\nатаковать организации в нескольких отраслях, включая здравоохранение, критическую инфраструктуру, нефть и газ,\r\nоборону, некоммерческие организации и правительство. Это не является каким-то благородным жестом, это всего\r\nлишь реакция на ответные меры, введенные в этом году в США. \r\nПоставщики-вымогатели утверждают, что их Ransomware реализован для разных версий ОС и архитектур и\r\nдоступен в различных форматах, включая вариант Windows с поддержкой SafeMode\r\n(EXE/ReflectiveDLL/PowerShell) и вариант Linux с поддержкой NAS: Synology, OpenMediaVault, FreeNAS\r\n(TrueNAS). Они также утверждают, что Windows-вариант успешно протестирован на Windows Server 2003+ x86/x64\r\nи Windows 7+ x64/x86, а Linux-вариант протестирован на ESXI 5+, Ubuntu, Debian и CentOs. \r\nВполне вероятно, что после успешного контакта партнёры вымогателей могут изменить первоначальный сценарий и\r\nначать распространять вредоносное ПО для шифрования файлов жертв путём взлома через незащищенную\r\nконфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов,\r\nвредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См.\r\nтакже \"Основные способы распространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы\r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 8 of 12\n\nделайте резервное копирование важных файлов по методу 3-2-1. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы\r\nобразов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\n51yupKSuX.README.txt - название файла с требованием выкупа; \r\n51yupKSuX.bmp - файл изображения с требованием выкупа; \r\n\u003crandom\u003e.exe - случайное название вредоносного файла. \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL: supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion/*\r\nTor-URL: z4pgb74sb7gfbarspwogjrll72niyx3455tgkgu6lyonq6zwsoh2cpad.onion\r\nEmail: - \r\nBTC: bc1qlv2qdmylyuw62zw8qcd4n3uh84cy2edckv3ds7\r\nXMR:\r\n85VxcvmZNvEZyED9cn5cJRFHZ8kbsmvN7cmUo6F3M6eo2xKB8KFC73DAEhqBc8yREwRjLo2pfzHtwjPoohvPcJJHMoaUCM\r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 9 of 12\n\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов: \r\nIOC: VT, HA, IA, TG, AR, VMR, JSB\r\nMD5: 598c53bfef81e489375f09792e487f1a\r\nSHA-1: 80a29bd2c349a8588edf42653ed739054f9a10f5\r\nSHA-256: 22d7d67c3af10b1a37f277ebabe2d1eb4fd25afbd6437d4377400e148bcc08d6\r\nVhash: 064056651d7d7567z51z8nzafz\r\nImphash: c94b1566bf307396953c849ef18f9857\r\nСтепень распространённости: низкая.\r\nИнформация дополняется. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\n1 августа 2021:\r\nСпециалисты Emsisoft получили образцы вредоносной программы и подтвердили, что BlackMatter является\r\nпродолжением DarkSide. Самая первая версия BlackMatter оказалась почти идентичной последней версии DarkSide,\r\nно с незначительными улучшения. За этой первой версией быстро последовало несколько новых итераций пейлоада\r\nBlackMatter, а затем его внутренний номер версии стал уже 2.0. Ссылка на статью \u003e\u003e\r\n2 августа 2021:\r\nНесколько цитат из этого интервью. \r\n- Мы создали проект и вывели его на рынок в тот момент, когда ниша была свободна, а проект полностью\r\nсоответствует требованиям рынка, поэтому его успех неизбежен.\r\n- Атакованные нами компании уже общаются с нами. Пока переговоры ведутся успешно, мы не публикуем\r\nсообщения на главной странице блога.\r\n- Пока мы делаем упор на долгосрочную работу. Мы также модерируем цели и не разрешаем использовать наш\r\nпроект для шифрования критически важной инфраструктуры, что привлечет к нам нежелательное внимание.\r\n- Наш проект вобрал в себя сильные стороны каждой из партнерских программ: REvil, LockBit, DarkSide.\r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 10 of 12\n\n- LockBit шифрует первые 256 кб файла (это довольно плохо с точки зрения криптостойкости). Мы же шифруем 1\r\nМБ. По сути, в этом секрет их скорости.\r\n- Мы можем уверенно сказать, что мы фанаты темного режима в дизайне, мы знакомы с командой DarkSide по\r\nсовместной работе в прошлом, но мы не они, хотя мы близки с их идеями. \r\n- Наше ПО постоянно улучшается новыми функциями, которые появятся в ближайшем будущем — печать текста\r\nзаметки на всех доступных принтерах. \r\n- Мы следим за нашими конкурентами и всегда реализуем то, что считаем перспективным и востребованным\r\nнашими клиентами.\r\n- Мы проверяем каждую цель и решаем, есть ли у нее возможные негативные последствия для нас. \r\n- Мы не работаем с VPN и другими типами начального доступа, требующими много времени, но сосредоточены на\r\nнемедленном получении прямого доступа к сети.\r\n- Для одних компаний важно сохранить конфиденциальность, а для других - восстановить инфраструктуру. Если\r\nсеть полностью зашифрована и есть риск публикации данных, компания, скорее всего, заплатит.\r\n- Секретов нет, но мы верим в свою Родину, любим свои семьи и зарабатываем деньги для наших детей.\r\nИзменения на сайте BlackMatter Ransomware на 16 августа 2021: \r\nВариант от 9 сентября 2021: \r\nВерсия: BlackMatter v2\r\nРасширение: .KzGzsrKzM\r\nЗаписка: KzGzsrKzM.README.txt\r\nРезультаты анализов: VT + AR\r\nОбнаружения \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 11 of 12\n\nALYac -\u003e Trojan.Ransom.Filecoder\r\nAvira (no cloud) -\u003e HEUR/AGEN.1137758\r\nBitDefender -\u003e Trojan.GenericKD.46999490\r\nDrWeb -\u003e Trojan.Encoder.34334\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.BlackMatter.C\r\nKaspersky -\u003e Trojan-Ransom.Win32.BlackMatter.p\r\nMalwarebytes -\u003e Malware.AI.2096315471\r\nMicrosoft -\u003e Ransom:Win32/BlackMatter.MAK!MTB\r\nRising -\u003e Trojan.Generic@ML.97 (RDML:qyeJDApQr3Dfr2VT4pj7Hw)\r\nSymantec -\u003e Trojan.Gen.MBT\r\nTencent -\u003e Malware.Win32.Gencirc.10cee34b\r\nTrendMicro -\u003e Ransom.Win32.BLACKMATTER.SMYXBHMT\r\nНовость от 1 ноября 2021:  \r\nСообщается о закрытие проекта BlackMatter Ransomware. \r\nSource: https://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html\r\nPage 12 of 12",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html"
	],
	"report_names": [
		"blackmatter-ransomware.html"
	],
	"threat_actors": [
		{
			"id": "aa73cd6a-868c-4ae4-a5b2-7cb2c5ad1e9d",
			"created_at": "2022-10-25T16:07:24.139848Z",
			"updated_at": "2026-04-10T02:00:04.878798Z",
			"deleted_at": null,
			"main_name": "Safe",
			"aliases": [],
			"source_name": "ETDA:Safe",
			"tools": [
				"DebugView",
				"LZ77",
				"OpenDoc",
				"SafeDisk",
				"TypeConfig",
				"UPXShell",
				"UsbDoc",
				"UsbExe"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434673,
	"ts_updated_at": 1775826727,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/2da7b8c79fad2f5ae76e1d3c01b94a68e8be82b8.pdf",
		"text": "https://archive.orkl.eu/2da7b8c79fad2f5ae76e1d3c01b94a68e8be82b8.txt",
		"img": "https://archive.orkl.eu/2da7b8c79fad2f5ae76e1d3c01b94a68e8be82b8.jpg"
	}
}