{ "id": "917a2253-c2cc-4731-868f-94022501f15b", "created_at": "2026-04-06T00:09:32.35654Z", "updated_at": "2026-04-10T13:12:25.00087Z", "deleted_at": null, "sha1_hash": "50ec2a18d2d3d2178f4d99b74e02a3ca13cea37d", "title": "VHD", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 429463, "plain_text": "VHD\r\nArchived: 2026-04-05 17:15:59 UTC\r\nVHD Ransomware\r\nAliases: VHDLocker\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей и организаций с помощью AES-128/256\r\n(режим ECB) + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название:\r\nв записке не указано. На файле написано: splwow32.exe. Написан на C++. Исследователи KasperskyLab\r\nсчитают, что VHD Ransomware принадлежит и управляется Lazarus Group. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.MulDrop11.51552, Trojan.MulDrop16.42005\r\nBitDefender -\u003e Gen:Variant.Graftor.717353\r\nAvira (no cloud) -\u003e TR/Ransom.hrjej\r\nESET-NOD32 -\u003e Win32/Filecoder.OBF\r\nKaspersky -\u003e Trojan-Ransom.Win32.Agent.awny\r\nMalwarebytes -\u003e Ransom.Vhd\r\nMicrosoft -\u003e Ransom:Win32/Cryptor!MSR\r\nRising -\u003e Ransom.Cryptor!8.10A9 (CLOUD), Ransom.VHDLocker!1.C88A (CLOUD)\r\nSymantec -\u003e Downloader\r\nTrendMicro -\u003e Ransom_Cryptor.R011C0DCN20, Ransom.Win32.VHDLOCKER.B\r\n---\r\n© Генеалогия: VHD \u003e\u003e ChiChi  и другие\r\nhttps://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html\r\nPage 1 of 8\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .vhd Внимание! Новые расширения, email и\r\nтексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным\r\nвариантом. \r\nАктивность этого крипто-вымогателя пришлась на вторую половину марта 2020 г. Штамп даты: 19 марта\r\n2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: HowToDecrypt.txt\r\nСодержание записки о выкупе:\r\nAll data on your pc were encrypted with strongest encryption method.\r\nThe only way to get your data back is to purchase unique key for you.\r\n* You can get cheaper price if you contact us as soon as possible. *\r\nAfter three days from now, it will be difficult to recover your data.\r\nGood Luck.\r\ncontact address:\r\nmiclejaps@msgden.net\r\nstevenjoker@msgden.net\r\nПеревод записки на русский язык:\r\nВсе данные на вашем пк зашифрованы надежным методом шифрования.\r\nЕдинственный способ вернуть ваши данные - это приобрести уникальный ключ для вас.\r\n* Вы можете получить меньшую цену, если напишите быстрее. *\r\nЧерез три дня будет трудно восстановить ваши данные.\r\nУдачи.\r\nКонтакт-адрес:\r\nmiclejaps@msgden.net\r\nstevenjoker@msgden.net\r\nhttps://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html\r\nPage 2 of 8\n\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Пытается остановить ряд служб согласно списку: \r\nsc stop \"Microsoft Exchange Active Directory Toplogy\"\r\nsc stop \"Microsoft Exchange Anti-spam Update\"\r\nsc stop \"Microsoft Exchange Compliance Audit\"\r\nsc stop \"Microsoft Exchange Compliance Service\"\r\nsc stop \"Microsoft Exchange DAG Management\"\r\nsc stop \"Microsoft Exchange Diagnostics\"\r\nsc stop \"Microsoft Exchange EdgeSync\"\r\nsc stop \"Microsoft Exchange Frontend Transport\"\r\nsc stop \"Microsoft Exchange Health Manager\"\r\nsc stop \"Microsoft Exchange Health Manager Recovery\"\r\nsc stop \"Microsoft Exchange IMAP4\"\r\nsc stop \"Microsoft Exchange IMAP4 Backend\"\r\nsc stop \"Microsoft Exchange Information Store\"\r\nsc stop \"Microsoft Exchange Mailbox Assistants\"\r\nsc stop \"Microsoft Exchange Mailbox Replication\"\r\nsc stop \"Microsoft Exchange Mailbox Transport Delivery\"\r\nsc stop \"Microsoft Exchange POP3\"\r\nsc stop \"Microsoft Exchange POP3 Backend\"\r\nsc stop \"SQL Server Agent (TESTINSTANCE)\"\r\nsc stop \"SQL Server (TESTINSTANCE)\"\r\nhttps://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html\r\nPage 3 of 8\n\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nHowToDecrypt.txt - название файла с требованием выкупа\r\nsplwow32.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nAEEAEE SET\r\nСетевые подключения и связи:\r\nEmail: miclejaps@msgden.net, stevenjoker@msgden.net\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nСкриншоты от исследователей:\r\nhttps://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html\r\nPage 4 of 8\n\nCryptGenRandom генерирует 64-байтовый ключ, но AES использует только 32 байта.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nhttps://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html\r\nPage 5 of 8\n\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 5 июня 2020:\r\nРасширение: .0d0a\r\nЗаписка: DecryptGuide.txt\r\nEmail: CulibDoett@gmail.com, ha7medtit@tutanota.com\r\nОбновление от 30 июля 2020:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .vhd\r\nЗаписка: HowToDecrypt.txt\r\nEmail: miclejaps@msgden.net, stevenjoker@msgden.net\r\nРезультаты анализов: VT + IA + VMR + AR + JSB\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.MulDrop11.51552\r\nBitDefender -\u003e Trojan.GenericKD.43566381\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OBF\r\nKaspersky -\u003e Trojan-Ransom.Win32.Agent.axwf\r\nMalwarebytes -\u003e Ransom.Vhd\r\nMicrosoft -\u003e Ransom:Win32/Ymacco.AAA3\r\nRising -\u003e Ransom.VHDLocker!1.C88A (CLOUD)\r\nTencent -\u003e Win32.Trojan.Agent.Aojc\r\nTrendMicro -\u003e Ransom_Ymacco.R03BC0DH220\r\nhttps://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html\r\nPage 6 of 8\n\n➤ Содержание записки: \r\nAll data on your pc were encrypted with strongest encryption method.\r\nThe only way to get your data back is to purchase unique key for you.\r\n* You can get cheaper price if you contact us as soon as possible. *\r\nAfter three days from now, it will be difficult to recover your data.\r\nGood Luck.\r\ncontact address:\r\nmiclejaps@msgden.net\r\nstevenjoker@msgden.net\r\nВариант от 7 апреля 2021: \r\nРасширение: .beaf\r\nЗаписка: DecryptGuide.txt\r\nEmail: ha7medtit@tutanota.com, araujosantos@protonmail.com\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.MulDrop16.42005\r\nBitDefender -\u003e Gen:Variant.Adware.ConvertAd.1427\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OBF\r\nMicrosoft -\u003e Trojan:Win32/Genasom!MSR\r\nRising -\u003e Ransom.Agent!1.C307 (CLOUD)\r\nTrendMicro -\u003e TROJ_GEN.R002C0DD721\r\nhttps://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html\r\nPage 7 of 8\n\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + Tweet + myTweet\r\n ID Ransomware (ID as VHD Ransomware)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n Michael Gillespie, Jirehlov, GrujaRS\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html\r\nPage 8 of 8", "extraction_quality": 1, "language": "EN", "sources": [ "ETDA" ], "origins": [ "web" ], "references": [ "https://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html" ], "report_names": [ "vhd-ransomware.html" ], "threat_actors": [ { "id": "34eea331-d052-4096-ae03-a22f1d090bd4", "created_at": "2025-08-07T02:03:25.073494Z", "updated_at": "2026-04-10T02:00:03.709243Z", "deleted_at": null, "main_name": "NICKEL ACADEMY", "aliases": [ "ATK3 ", "Black Artemis ", "COVELLITE ", "CTG-2460 ", "Citrine Sleet ", "Diamond Sleet ", "Guardians of Peace", "HIDDEN COBRA ", "High Anonymous", "Labyrinth Chollima ", "Lazarus Group ", "NNPT Group", "New Romanic Cyber Army Team", "Temp.Hermit ", "UNC577 ", "Who Am I?", "Whois Team", "ZINC " ], "source_name": "Secureworks:NICKEL ACADEMY", "tools": [ "Destover", "KorHigh", "Volgmer" ], "source_id": "Secureworks", "reports": null }, { "id": "732597b1-40a8-474c-88cc-eb8a421c29f1", "created_at": "2025-08-07T02:03:25.087732Z", "updated_at": "2026-04-10T02:00:03.776007Z", "deleted_at": null, "main_name": "NICKEL GLADSTONE", "aliases": [ "APT38 ", "ATK 117 ", "Alluring Pisces ", "Black Alicanto ", "Bluenoroff ", "CTG-6459 ", "Citrine Sleet ", "HIDDEN COBRA ", "Lazarus Group", "Sapphire Sleet ", "Selective Pisces ", "Stardust Chollima ", "T-APT-15 ", "TA444 ", "TAG-71 " ], "source_name": "Secureworks:NICKEL GLADSTONE", "tools": [ "AlphaNC", "Bankshot", "CCGC_Proxy", "Ratankba", "RustBucket", "SUGARLOADER", "SwiftLoader", "Wcry" ], "source_id": "Secureworks", "reports": null }, { "id": "a2b92056-9378-4749-926b-7e10c4500dac", "created_at": "2023-01-06T13:46:38.430595Z", "updated_at": "2026-04-10T02:00:02.971571Z", "deleted_at": null, "main_name": "Lazarus Group", "aliases": [ "Operation DarkSeoul", "Bureau 121", "Group 77", "APT38", "NICKEL GLADSTONE", "G0082", "COPERNICIUM", "Moonstone Sleet", "Operation GhostSecret", "APT 38", "Appleworm", "Unit 121", "ATK3", "G0032", "ATK117", "NewRomanic Cyber Army Team", "Nickel Academy", "Sapphire Sleet", "Lazarus group", "Hastati Group", "Subgroup: Bluenoroff", "Operation Troy", "Black Artemis", "Dark Seoul", "Andariel", "Labyrinth Chollima", "Operation AppleJeus", "COVELLITE", "Citrine Sleet", "DEV-0139", "DEV-1222", "Hidden Cobra", "Bluenoroff", "Stardust Chollima", "Whois Hacking Team", "Diamond Sleet", "TA404", "BeagleBoyz", "APT-C-26" ], "source_name": "MISPGALAXY:Lazarus Group", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "32a223a8-3c79-4146-87c5-8557d38662ae", "created_at": "2022-10-25T15:50:23.703698Z", "updated_at": "2026-04-10T02:00:05.261989Z", "deleted_at": null, "main_name": "Lazarus Group", "aliases": [ "Lazarus Group", "Labyrinth Chollima", "HIDDEN COBRA", "Guardians of Peace", "NICKEL ACADEMY", "Diamond Sleet" ], "source_name": "MITRE:Lazarus Group", "tools": [ "RawDisk", "Proxysvc", "BADCALL", "FALLCHILL", "WannaCry", "MagicRAT", "HOPLIGHT", "TYPEFRAME", "Dtrack", "HotCroissant", "HARDRAIN", "Dacls", "KEYMARBLE", "TAINTEDSCRIBE", "AuditCred", "netsh", "ECCENTRICBANDWAGON", "AppleJeus", "BLINDINGCAN", "ThreatNeedle", "Volgmer", "Cryptoistic", "RATANKBA", "Bankshot" ], "source_id": "MITRE", "reports": null }, { "id": "f32df445-9fb4-4234-99e0-3561f6498e4e", "created_at": "2022-10-25T16:07:23.756373Z", "updated_at": "2026-04-10T02:00:04.739611Z", "deleted_at": null, "main_name": "Lazarus Group", "aliases": [ "APT-C-26", "ATK 3", "Appleworm", "Citrine Sleet", "DEV-0139", "Diamond Sleet", "G0032", "Gleaming Pisces", "Gods Apostles", "Gods Disciples", "Group 77", "Guardians of Peace", "Hastati Group", "Hidden Cobra", "ITG03", "Jade Sleet", "Labyrinth Chollima", "Lazarus Group", "NewRomanic Cyber Army Team", "Operation 99", "Operation AppleJeus", "Operation AppleJeus sequel", "Operation Blockbuster: Breach of Sony Pictures Entertainment", "Operation CryptoCore", "Operation Dream Job", "Operation Dream Magic", "Operation Flame", "Operation GhostSecret", "Operation In(ter)caption", "Operation LolZarus", "Operation Marstech Mayhem", "Operation No Pineapple!", "Operation North Star", "Operation Phantom Circuit", "Operation Sharpshooter", "Operation SyncHole", "Operation Ten Days of Rain / DarkSeoul", "Operation Troy", "SectorA01", "Slow Pisces", "TA404", "TraderTraitor", "UNC2970", "UNC4034", "UNC4736", "UNC4899", "UNC577", "Whois Hacking Team" ], "source_name": "ETDA:Lazarus Group", "tools": [ "3CX Backdoor", "3Rat Client", "3proxy", "AIRDRY", "ARTFULPIE", "ATMDtrack", "AlphaNC", "Alreay", "Andaratm", "AngryRebel", "AppleJeus", "Aryan", "AuditCred", "BADCALL", "BISTROMATH", "BLINDINGCAN", "BTC Changer", "BUFFETLINE", "BanSwift", "Bankshot", "Bitrep", "Bitsran", "BlindToad", "Bookcode", "BootWreck", "BottomLoader", "Brambul", "BravoNC", "Breut", "COLDCAT", "COPPERHEDGE", "CROWDEDFLOUNDER", "Castov", "CheeseTray", "CleanToad", "ClientTraficForwarder", "CollectionRAT", "Concealment Troy", "Contopee", "CookieTime", "Cyruslish", "DAVESHELL", "DBLL Dropper", "DLRAT", "DRATzarus", "DRATzarus RAT", "Dacls", "Dacls RAT", "DarkComet", "DarkKomet", "DeltaCharlie", "DeltaNC", "Dembr", "Destover", "DoublePulsar", "Dozer", "Dtrack", "Duuzer", "DyePack", "ECCENTRICBANDWAGON", "ELECTRICFISH", "Escad", "EternalBlue", "FALLCHILL", "FYNLOS", "FallChill RAT", "Farfli", "Fimlis", "FoggyBrass", "FudModule", "Fynloski", "Gh0st RAT", "Ghost RAT", "Gopuram", "HARDRAIN", "HIDDEN COBRA RAT/Worm", "HLOADER", "HOOKSHOT", "HOPLIGHT", "HOTCROISSANT", "HOTWAX", "HTTP Troy", "Hawup", "Hawup RAT", "Hermes", "HotCroissant", "HotelAlfa", "Hotwax", "HtDnDownLoader", "Http Dr0pper", "ICONICSTEALER", "Joanap", "Jokra", "KANDYKORN", "KEYMARBLE", "Kaos", "KillDisk", "KillMBR", "Koredos", "Krademok", "LIGHTSHIFT", "LIGHTSHOW", "LOLBAS", "LOLBins", "Lazarus", "LightlessCan", "Living off the Land", "MATA", "MBRkiller", "MagicRAT", "Manuscrypt", "Mimail", "Mimikatz", "Moudour", "Mydoom", "Mydoor", "Mytob", "NACHOCHEESE", "NachoCheese", "NestEgg", "NickelLoader", "NineRAT", "Novarg", "NukeSped", "OpBlockBuster", "PCRat", "PEBBLEDASH", "PLANKWALK", "POOLRAT", "PSLogger", "PhanDoor", "Plink", "PondRAT", "PowerBrace", "PowerRatankba", "PowerShell RAT", "PowerSpritz", "PowerTask", "Preft", "ProcDump", "Proxysvc", "PuTTY Link", "QUICKRIDE", "QUICKRIDE.POWER", "Quickcafe", "QuiteRAT", "R-C1", "ROptimizer", "Ratabanka", "RatabankaPOS", "Ratankba", "RatankbaPOS", "RawDisk", "RedShawl", "Rifdoor", "Rising Sun", "Romeo-CoreOne", "RomeoAlfa", "RomeoBravo", "RomeoCharlie", "RomeoCore", "RomeoDelta", "RomeoEcho", "RomeoFoxtrot", "RomeoGolf", "RomeoHotel", "RomeoMike", "RomeoNovember", "RomeoWhiskey", "Romeos", "RustBucket", "SHADYCAT", "SHARPKNOT", "SIGFLIP", "SIMPLESEA", "SLICKSHOES", "SORRYBRUTE", "SUDDENICON", "SUGARLOADER", "SheepRAT", "SierraAlfa", "SierraBravo", "SierraCharlie", "SierraJuliett-MikeOne", "SierraJuliett-MikeTwo", "SimpleTea", "SimplexTea", "SmallTiger", "Stunnel", "TAINTEDSCRIBE", "TAXHAUL", "TFlower", "TOUCHKEY", "TOUCHMOVE", "TOUCHSHIFT", "TOUCHSHOT", "TWOPENCE", "TYPEFRAME", "Tdrop", "Tdrop2", "ThreatNeedle", "Tiger RAT", "TigerRAT", "Trojan Manuscript", "Troy", "TroyRAT", "VEILEDSIGNAL", "VHD", "VHD Ransomware", "VIVACIOUSGIFT", "VSingle", "ValeforBeta", "Volgmer", "Vyveva", "W1_RAT", "Wana Decrypt0r", "WanaCry", "WanaCrypt", "WanaCrypt0r", "WannaCry", "WannaCrypt", "WannaCryptor", "WbBot", "Wcry", "Win32/KillDisk.NBB", "Win32/KillDisk.NBC", "Win32/KillDisk.NBD", "Win32/KillDisk.NBH", "Win32/KillDisk.NBI", "WinorDLL64", "Winsec", "WolfRAT", "Wormhole", "YamaBot", "Yort", "ZetaNile", "concealment_troy", "http_troy", "httpdr0pper", "httpdropper", "klovbot", "sRDI" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434172, "ts_updated_at": 1775826745, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/50ec2a18d2d3d2178f4d99b74e02a3ca13cea37d.pdf", "text": "https://archive.orkl.eu/50ec2a18d2d3d2178f4d99b74e02a3ca13cea37d.txt", "img": "https://archive.orkl.eu/50ec2a18d2d3d2178f4d99b74e02a3ca13cea37d.jpg" } }