{
	"id": "6b31f9f0-fd4f-44ee-9dd8-d337f2cad7de",
	"created_at": "2026-04-10T03:20:59.451065Z",
	"updated_at": "2026-04-10T03:22:19.033275Z",
	"deleted_at": null,
	"sha1_hash": "31979451b9539a5dce90d76f5af8e4ba237eeed1",
	"title": "HelloKitty, Kitty",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 425736,
	"plain_text": "HelloKitty, Kitty\r\nArchived: 2026-04-10 03:06:09 UTC\r\nHelloKitty Ransomware\r\nKitty Ransomware\r\nHelloKitty Hand-Ransomware\r\nNextGen: FiveHands, ViceSociety, Boombye\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 и RSA, а\r\nзатем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле\r\nнаписано: ag.exe. Написан на C++. В мае 2021 появился новый вариант написанный на языке Go. \r\nСуществует несколько разных версий, которые используют для шифрования разную комбинацию алгоритмов: AES-256 + RSA-2048, AES-128 + NTRU. Также есть версия для Linux, использующая AES-256 + ECDH.\r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.33143, Trojan.Encoder.33348, Trojan.Encoder.33464\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.1, Gen:Variant.Ransom.Adhubllka.1\r\nALYac -\u003e Trojan.Ransom.Filecoder\r\nAvira (no cloud) -\u003e TR/Redcap.pdjtm, HEUR/AGEN.1127999\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.DeathRansom.D\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Win32.Encoder.gen\r\nMalwarebytes -\u003e Ransom.DeathRansom\r\nMicrosoft -\u003e Trojan:Win32/Ymacco.AA9A\r\nRising -\u003e Trojan.Generic@ML.85 (RDML:Hg3*\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTrendMicro -\u003e Trojan.Win32.IMPS.USMANKI20\r\n---\r\n© Генеалогия: ✂️ DeathRansom, Adhubllka \u003e TechandStrat \u003e HelloKitty (Kitty) \u003e FiveHands \r\n© Генеалогия: HelloKitty (Kitty) \u003e Kitty Go, Kitty Linux \r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .crypted\r\nhttps://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html\r\nPage 1 of 9\n\nЭтимология названия:\r\nСлово HelloKitty есть в мьютексе HelloKittyMutex. Вымогатели оказались настолько пугливыми, что не\r\nвоспользовались email для связи с жертвами, использовали только специальный адрес на onion-сайте, без первичной\r\nстраницы домена, никак не назвали свою программу и напуганные вопросами в чате сразу сбежали восвояси.\r\nПоэтому в логотип статьи был добавлен напуганный котенок. \r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там\r\nмогут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на середину ноября 2020 г. Ориентирован на англоязычных\r\nпользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: read_me_lkdtt.txt\r\nВероятно, что используется шаблон: read_me_\u003cabbreviation\u003e.txt\r\nСодержание записки о выкупе:\r\nHello dear user.\r\nYour files have been encrypted.\r\n-- What does it mean?!\r\nContent of your files have been modified. Without special key you can't undo that operation.\r\n-- How to get special key?\r\nIf you want to get it, you must pay us some money and we will help you.\r\nWe will give you special decryption program and instructions.\r\n-- Ok, how i can pay you?\r\n1) Download TOR browser, if you don't know how to do it you can google it.\r\n2) Open this website in tor browser:\r\nhxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion/02f6af250649555ea1b65f20fd9e815b23ba7d84829b93e6d8d\r\n3) Follow instructions in chat. \r\nПеревод записки на русский язык:\r\nПривет дорогой пользователь.\r\nВаши файлы зашифрованы.\r\n-- Что это значит?!\r\nСодержание ваших файлов было изменено. Без специального ключа вы не сможете отменить эту операцию.\r\n- Как получить специальный ключ?\r\nЕсли вы хотите его получить, вы должны заплатить нам немного денег, и мы вам поможем.\r\nМы дадим вам специальную программу расшифровки и инструкции.\r\n- Хорошо, как я могу тебе заплатить?\r\n1) Загрузите браузер TOR, если не знаете, как это сделать, можете погуглить.\r\nhttps://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html\r\nPage 2 of 9\n\n2) Откройте этот веб-сайт в браузере TOR:\r\nhxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion/02f6af250649555ea1b65f20fd9e815b23ba7d84829c93db10f8\r\n3) Следуйте инструкциям в чате.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и\r\nвредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы\r\nделайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ При выполнении HelloKitty завершает 1706 процессов, закрывает 57 служб и удаляет теневые копии файлов.\r\n➤ HelloKitty содержит встроенный открытый ключ RSA-2048. Этот открытый ключ хешируется SHA256 и\r\nиспользуется в качестве идентификатора жертвы в записке с требованием выкупа. Этот открытый RSA-ключ также\r\nиспользуется для шифрования симметричного ключа каждого файла.\r\nДля симметричного ключа HelloKitty генерирует 32-байтовое начальное значение на основе метки времени ЦП.\r\nГенерируется ключ Salsa20, который шифрует второе 32-байтовое начальное значение. Зашифрованный результат\r\nподвергается операции XOR с первым семенем, в результате чего получается 32-байтовый ключ, используемый для\r\nAES-шифрования каждого файла.\r\nПосле того, как каждый файл зашифрован, исходный размер файла, магическое значение DE C0, AD BA и ключ AES\r\nзашифровываются с помощью открытого ключа RSA и добавляются к файлу. HelloKitty добавляет эти\r\nдополнительные метаданные в зашифрованный файл. Затем он добавляет четыре магических байта DA DC CC AB в\r\nконец зашифрованного файла.\r\nВ зависимости от версии HelloKitty может изменять или не изменять расширение файла.\r\nВ других образцах HelloKitty вместо RSA использовался встроенный открытый ключ NTRU.\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы\r\nобразов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nread_me_lkdtt.txt - название файла с требованием выкупа\r\nag.exe - случайное название вредоносного файла\r\nhttps://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html\r\nPage 3 of 9\n\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\Admin\\AppData\\Local\\Temp\\ag.exe\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nHelloKittyMutex\r\nМьютекс нужен, чтобы предотвратить запуск нескольких экземпляров шифровальщика одновременно. \r\nСетевые подключения и связи:\r\nTor-URL: hxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion\r\nEmail: - \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов: 🔻 Triage analysis \u003e\u003e\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nDeathRansom Ransomware - ноябрь 2019 - август 2020 \r\nдругие варианты - в течении 2020\r\nTechandStrat Ransomware - октябрь 2020\r\nHelloKitty Ransomware - ноябрь 2020\r\nFiveHands Ransomware - декабрь 2020 - январь 2021 и далее\r\nViceSociety Ransomware - с июня 2021 и далее\r\nBoombye Ransomware - ноябрь 2021\r\nhttps://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html\r\nPage 4 of 9\n\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 26-27 декабря 2020: \r\nНацелен на бразильские компании. \r\nВ тексте упоминаеттся CEMIG - бразильская энергетическая компания.\r\nРасширение: .kitty\r\nЗаписка: read_me_lkdtt.txt\r\n➤ Другим информатором является чат на Tor-сайте. \r\nНемного текста от вымогателей:\r\nYou was attacked by Kitty ransomware\r\nAll your documents, photos, databases and other important files have been encrypted.\r\nThe only way to decrypt your files is to receive the decryption program.\r\nFor details talk with support in chat.\r\nHello CEMIG, i'll help you to recover your files, type first message here to start.\r\n***\r\nYou have 24 hours to start dialogue or i'll publish your private data or sell it on darknet, i do not care who will take it, you or\r\nsomeone else, we have many backdoors in your system and i sell this information too, so you can stay silent or protect\r\npersonal data of your employers, secret data of your company and we can remove all backdoors... think about it. You have\r\nnot so much time.\r\n---\r\nРезультаты анализов: VT + AR + AR + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33348\r\nAvira (no cloud) -\u003e HEUR/AGEN.1127999\r\nBitDefender -\u003e Gen:Variant.Ransom.Adhubllka.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.DeathRansom.D\r\nKaspersky -\u003e HEUR:Trojan.Win32.Udochka.gen\r\nMalwarebytes -\u003e Ransom.DeathRansom\r\nRising -\u003e Trojan.Generic@ML.97 (RDML:Xr*\r\nSymantec -\u003e Ransom.CryptoTorLocker\r\nTencent -\u003e Win32.Trojan.Filecoder.Wpti\r\nTrendMicro -\u003e TROJ_GEN.R002H09LR20, Ransom_CryptoLocker.R002C0DG821\r\nВариант от 25-26 декабря или позже, в январе 2021:\r\nhttps://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html\r\nPage 5 of 9\n\nРасширение: .crypt\r\nЗаписка: DECRYPT_NOTE.txt\r\nИмеются отличия, см. сравнительную таблицу разных функций для FiveHands - HelloKitty - DeathRansom. \r\n=== 2021 ===\r\nВариант от 28 января 2021: \r\nРасширение: .crypted\r\nЗаписка: read_me_lkd.txt\r\nTor-URL: hxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion/*\r\nРезультаты анализов: VT + AR + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33464\r\nBitDefender -\u003e Generic.Malware.PfVPk!12.299C21F3\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.DeathRansom.C\r\nKaspersky -\u003e HEUR:Trojan.Win32.AntiAV\r\nMalwarebytes -\u003e Ransom.HelloKitty\r\nMicrosoft -\u003e Ransom:Win32/Death.DB!MTB\r\nRising -\u003e Ransom.Death!8.11553 (CLOUD)\r\nSymantec -\u003e Trojan.Gen.MBT\r\nTencent -\u003e Win32.Trojan.Filecoder.Ecav\r\nTrendMicro -\u003e Ransom.Win32.DEATHRANSOM.F\r\nВариант от 9 февраля 2021:\r\nНекоторые пояснения по вариантам HelloKitty:\r\nhttps://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html\r\nPage 6 of 9\n\nВариант от 9 мая 2021:\r\nНазвание: Kitty Go. \r\nОбъект атаки: медицинская компания Western Pathology (США). \r\nРасширение: .crypted\r\nЗаписка: read_me_unlock.txt\r\nНовый проект: /Go/src/kitty/kidata/kidata.go\r\n➤ Содержание записки: \r\nHello dear westernpathologyinc! \r\nUnfortunately, your files have been encrypted and attackers are taking over 1 TB of your personal data. \r\nfinancial reports and many other documents. \r\nDo not try to recover files yourself, you can damage them without special software. \r\nWe can help you recover your files and prevent your data from leaking or being sold on the darknet. \r\nJust contact support using the following methods and we will decrypt ..one non-important file for free to convince you of\r\nour honesty.\r\nuse TOR browser to talk with support\r\nhxxx://uqudwxzszbcj6uxbhbdccmixvwjfewn565ifotzvcbbimsjjcczsvpyd.onion/*\r\n---\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33894\r\nBitDefender -\u003e Trojan.Ransom.Agent.BX\r\nESET-NOD32 -\u003e A Variant Of WinGo/Filecoder.M\r\nKaspersky -\u003e VHO:Trojan-Ransom.Win32.Convagent.gen\r\nMalwarebytes -\u003e Malware.AI.4199637328\r\nMicrosoft -\u003e Trojan:Win32/Hynamer.C!ml\r\nRising -\u003e Ransom.Encoder!8.FFD4 (RDMK:cmR*\r\nTrendMicro  -\u003e TROJ_GEN.R002H07E921, Ransom_Encoder.R002C0WEC21\r\nВариант от даты появления:\r\nНазвание: Kitty Linux (для Linux-систем) \r\nРасширение: .crypt\r\nИспользуется OpenSSL (AES256 + secp256k1 + ECDSA)\r\nВариант июня 2021:\r\nНазвание: Vice Society. Вероятно спин-офф от HelloKitty. \r\nhttps://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html\r\nPage 7 of 9\n\nШифрует системы Windows и Linux с помощью OpenSSL (AES256 + secp256k1 + ECDSA). \r\nРасширение: .v-society\r\nEmail: V-society.official@onionmail.org, ViceSociety@onionmail.org\r\nДругой вариант июня 2021: \r\nШифрование: NTRUEncrypt и ChaCha20-Poly1305\r\nРасширение: .ViceSociety\r\nЗаписка: AllYFilesAE.txt или другая. \r\nСообщается о распространении на основе этого других похожих вариантах: Chily и SunnyDay.\r\nВариант от 15 июля 2021:\r\nНовая версия HelloKitty нацелена на серверы ESXi и виртуальные машины, работающие на них.\r\nСообщение от 13 августа 2021:\r\nГруппа вымогателей Vice Society теперь активно использует уязвимость PrintNightmare (CVE-2021-1675 и CVE-2021-34527) диспетчера очереди печати Windows для бокового перемещения по сетям своих жертв.\r\nВариант от 18 ноября 2021: \r\nРасширение: .boombye\r\nЗаписка: _read_me_bro.txt\r\nМай-июнь 2022:\r\nГруппа вымогателей ViceSociety атакует Палермо.\r\nАпрель 2023: \r\nhttps://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html\r\nPage 8 of 9\n\nVice Society использует в атаках новый скрипт PowerShell для кражи данных \r\nНовость от 19 апреля 2024:\r\nЗлоумышленник Gookee/kapuchin0 сделал объявление, в котором утверждает, что является первоначальным\r\nсоздателем HelloKitty Ransomware, меняет название на HelloGookie Ransomware, и в честь такого праздника\r\nпубликует четыре частных ключа для для расшифровки файлов в ходе старых атак, а также внутреннюю\r\nинформацию, украденную у Cisco во время атаки 2022 года, и пароли к утекшему исходному коду для Gwent,\r\nWitcher 3, Red Engine, украденному у CD Projekt в 2021 году.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message\r\n ID Ransomware (ID as HelloKitty)\r\n Write-up, Topic of Support\r\n Added later: Write-up by FireEye (on April 29, 2021)\r\n Thanks:\r\n Andrew Ivanov (article author)\r\n quitman7, Michael Gillespie\r\n FireEye\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/11/hellokitty-ransomware.html"
	],
	"report_names": [
		"hellokitty-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775791259,
	"ts_updated_at": 1775791339,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/31979451b9539a5dce90d76f5af8e4ba237eeed1.pdf",
		"text": "https://archive.orkl.eu/31979451b9539a5dce90d76f5af8e4ba237eeed1.txt",
		"img": "https://archive.orkl.eu/31979451b9539a5dce90d76f5af8e4ba237eeed1.jpg"
	}
}