{
	"id": "b327b16d-9d0f-47b0-b4ca-3cc07299a5eb",
	"created_at": "2026-04-06T00:07:21.983867Z",
	"updated_at": "2026-04-10T03:21:51.819302Z",
	"deleted_at": null,
	"sha1_hash": "5c486c18dec2da39437b03e9f4a652615802a749",
	"title": "BlackKingdom",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 464203,
	"plain_text": "BlackKingdom\r\nArchived: 2026-04-05 20:43:03 UTC\r\nBlackKingdom Ransomware\r\nBlackKingdom 2.0 Ransomware\r\nBlackKingdom NextGen \r\nAliases: Black_Kingdom, DemonCrypt, DemonWare, CoderWare\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в\r\n$10.000 в BTC, чтобы вернуть файлы. Оригинальное название: Black_Kingdom Ransomware. На файле\r\nнаписано: нет данных. Написан на языке Python 3.8.\r\nОбнаружения:\r\nDrWeb -\u003e Python.Encoder.8, Python.Encoder.15, Trojan.Encoder.33173, Python.Encoder.25\r\nBitDefender -\u003e Generic.Ransom.BlackKingdom.CDC***\r\nESET-NOD32 -\u003e Python/Filecoder.DL\r\nF-Secure -\u003e Trojan.TR/Ransom.pigrx\r\nMalwarebytes -\u003e Trojan.Banker.Python\r\nSymantec -\u003e Trojan.Gen.MBT\r\nTencent -\u003e Malware.Win32.Gencirc.10b8b856\r\nTrendMicro -\u003e TROJ_FRS.VSNTBS20, Ransom.Win32.DEMONCRYPT.A\r\n---\r\n© Генеалогия: другие Python-ransomware \u003e\u003e BlackKingdom \u003e GAmmAWare, DemonWare\r\n\u003e CoderCrypt\r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 1 of 13\n\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение: .DEMON Внимание! Новые расширения, email\r\nи тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с\r\nпервоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Штамп даты: 5 января\r\n2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется: README.txt\r\nСодержание записки о выкупе:\r\nI'm sorry to inform you that Your whole Enviorement have been hacked !!\r\nall of your Data including ( Data, documents, Videos, Photos, Databases, servers, outlook emails, and way way\r\nmore ) are encrypted now, and cannot be accessed under any circumestances.\r\nHow to get them back \u003e\u003e\u003e ??? \r\nall you have to do is to pay us ( $10,000 ) worth of bitcoin to the following address : \r\n***************************** [ 3MdnThXfyPfjCVihXkbR3i15m4BFN3Rhi7\r\n]*****************************\r\nif we don't get a transfer within the stated time , all of your data will be destroyed and yet be sold.\r\nyou've got 600 minutes to respond for our demands \r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 2 of 13\n\nbest regards :) \r\n# for further instructions : feel free to contact us on the following email --\u003e blackingdom@gszmail.com\r\nПеревод записки на русский язык:\r\nИзвините, что сообщаю, что все ваше окружение взломано!\r\nвсе ваши данные, включая (данные, документы, видео, фото, базы данных, серверы, почта Outlook и\r\nмногие другие), зашифрованы и недоступны при любых обстоятельствах.\r\nКак вернуть их \u003e\u003e\u003e ???\r\nвсе, что вам нужно сделать, это заплатить нам (10 000 долларов) в биткойнах на следующий адрес:\r\n***************************** [3MdnThXfyPfjCVihXkbR3i15m4BFN3Rhi7] ******************\r\n***********\r\nЕсли мы не получим перевод в указанный срок, все ваши данные будут уничтожены и еще проданы.\r\nу вас есть 600 минут, чтобы ответить на наши требования\r\nс уважением :)\r\n# для дальнейших инструкций: не стесняйтесь обращаться к нам на следующий адрес email -\u003e\r\nblackingdom@gszmail.com\r\nДругим информатором выступает экран блокировки. Текст аналогичен тому, что есть в записке.  На\r\nобдумывание ситуации дается всего 600 минут (10 часов). \r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 3 of 13\n\n➤ Используется уязвимость в Microsoft Exchange для первоначального доступа к целевым компьютерам\r\n(ссылка). Список файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nREADME.txt - название текстового файла\r\npayload.txt.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: blackingdom@gszmail.com\r\nBTC: 3MdnThXfyPfjCVihXkbR3i15m4BFN3Rhi7\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e AR\u003e AR\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: низкая.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 4 of 13\n\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 4 июня 2020:\r\nСамоназвание: DemonWare Ransomware\r\nРасширение: .DEMON\r\nРезультаты анализов: VT + AR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Python.Encoder.15\r\nALYac -\u003e Trojan.Ransom.Filecoder\r\nAvira (no cloud) -\u003e TR/Ransom.fckkx\r\nBitDefender -\u003e Trojan.GenericKD.33965521\r\nESET-NOD32 -\u003e Python/Filecoder.DM\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Win32.Trojan.Generic.Huqg\r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 5 of 13\n\nTrendMicro -\u003e TROJ_GEN.R002C0PF520\r\nEmail: blackingdom@gszmail.com\r\nBTC: 3MdnThXfyPfjCVihXkbR3i15m4BFN3Rhi7\r\nВариант от 8 сентября 2020: \r\nСамоназвание: DemonWare\r\nРасширение: .DEMON\r\nЗаписка: README.txt\r\nПереименовывает оригинальное расширение файла на exe. \r\nРезультаты анализов: VT + IA + JSB\r\nОбновление от 19 ноября 2020:\r\nСамоназвание: CoderWare ransomware\r\nРасширение: .DEMON\r\nEmail: tuhafcoderus@protonmail.com\r\nBTC: 336Fvf8fRrpySwq8gsawdf7gfuGm5FQi8K\r\nTelegram: @Codersan\r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 6 of 13\n\nWhatsap: +63 997 401 3126 - страна Филиппины\r\nЗамаскирован под установщик игры Cyberpunk 2077.\r\nФайлы: CyberPunk2077.sfx.exe -\u003e CyberPunk2077.exe\r\nРезультаты анализов: VT + AR / VT\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.33173\r\nBitDefender -\u003e Generic.Ransom.BlackKingdom.ACC0B5B4\r\nESET-NOD32 -\u003e Python/Filecoder.CL\r\nKaspersky -\u003e Trojan-Ransom.Win32.Alien.ao\r\nMalwarebytes -\u003e Ransom.FileCryptor\r\nRising -\u003e Trojan.Generic@ML.94 (RDML:nCVGX9EypX0WbcZQRQa+Ig)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Malware.Win32.Gencirc.11b17c94\r\nTrendMicro -\u003e Ransom_Alien.R03FC0P\r\n---\r\nИмеется версия для мобильных устройств под управление ОС Android.\r\nСообщение от 21 декабря 2020:\r\nСамоназвание: Nagini-Locker\r\nРасширение: .DEMON\r\nEmail: carecaxyz@pm.me\r\nBTC: 3DfRZMeEAEuD1pjMrE8P4VnPBB863oebHn\r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 7 of 13\n\nВариант от 19 марта 2021: \r\nСамоназвание: Blackkingdom Ransomware.\r\nИспользует уязвимости Microsoft Exchange Server ProxyLogon для шифрования серверов.\r\nРасширение случайное для каждого файла: .\u003crandom\u003e\r\nПримеры: .cnjl, .tMIbI, .WNoBGi9\r\nЗаписка: decrypt_file.TxT\r\nEmail: support_blackkingdom2@protonmail.com\r\nСумма выкупа: $10.000 в BTC. \r\nBTC: 1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT\r\nРезультаты анализов: VT + IA\r\n➤ Обнаружения: \r\nDrWeb -\u003e Python.Encoder.25\r\nALYac -\u003e Trojan.Ransom.BlackKingdom\r\nBitDefender -\u003e Trojan.GenericKD.45955218\r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 8 of 13\n\nEmsisoft -\u003e Trojan.Ransom.BlackKingdom.B (B)\r\nESET-NOD32 -\u003e Python/Filecoder.GO\r\nMicrosoft -\u003e Ransom:Win64/Filecoder!MSR\r\nQihoo-360 -\u003e Win64/Ransom.BlackKingdom.H8oAFg8A\r\nRising -\u003e Ransom.BlackKingdom!1.D420 (CLASSIC)\r\nTrendMicro -\u003e Ransom.Win64.BLACKKINGDOM.B\r\n➤ Содержание записки: \r\n***************************\r\n| We Are Back            ?\r\n***************************\r\nWe hacked your (( Network )), and now all files, documents, images,\r\ndatabases and other important data are safely encrypted using the strongest algorithms ever.\r\nYou cannot access any of your files or services.\r\nBut do not worry. You can restore everthing and get back business very soon ( depends on your actions )\r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 9 of 13\n\nbefore I tell how you can restore your data, you have to know certain things :\r\nWe have downloaded most of your data ( especially important data ) , and if you don't  contact us within 2 days,\r\nyour data will be released to the public.\r\nTo see what happens to those who didn't contact us, just google : (  Blackkingdom Ransomware  )\r\n***************************\r\n| What  guarantees        ?\r\n***************************\r\nWe understand your stress and anxiety. So you have a free opportunity to test our service by instantly decrypting\r\none or two files for free\r\njust send the files you want to decrypt to (support_blackkingdom2@protonmail.com\r\n***************************************************\r\n| How to contact us and recover all of your files  ?\r\n***************************************************\r\nThe only way to recover your files and protect from data leaks, is to purchase a unique private key for you that we\r\nonly posses .\r\n[ + ] Instructions:\r\n1- Send the decrypt_file.txt file to the following email ===\u003e support_blackkingdom2@protonmail.com\r\n2- send the following amount of US dollars ( 10,000 ) worth of bitcoin to this address :\r\n[ 1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT ]\r\n3- confirm your payment by sending the transfer url to our email address\r\n4- After you submit the payment, the data will be removed from our servers, and the decoder will be given to you,\r\nso that you can recover all your files.\r\n## Note ##\r\nDear system administrators, do not think you can handle it on your own. Notify your supervisors as soon as\r\npossible.\r\nBy hiding the truth and not communicating with us, what happened will be published on social media and yet in\r\nnews websites.\r\nYour ID ==\u003e\r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 10 of 13\n\nsk8mO7mFsozUf6xPrlfn\r\nВариант от 24 августа 2021:\r\nРасширение: .svyx \r\nEmail: CSGVyzko@mail2tor.com\r\nФайл: FREE VBUCKS GENERATOR 2021 FREE NO FAKE 1 LINK MEGA 100% REAL.exe\r\nРезультаты анализов: VT\r\nВариант от 7 марта 2022: \r\nСамоназвание: Fath3r Ransomware\r\nEmail: iamfath3r@protonmail.com\r\nTelegram: @iamfath3r\r\nBTC: bc1qeazdzpqeupnqcdtnws6cn28fsf503fuyhhazf5\r\nФайл: payload.exe\r\nРезультаты анализов: VT + IA\r\nMD5: f3ff8e85a6b9ac336273c4e51156f36a\r\nSHA-1: 7f745a260c30aefddc12f34276e73d00c9ea745f\r\nSHA-256: 73abef1e8cd548939010ad5c4937fe5bdabfb0b9a12d711debfa9a53925647fe\r\nVhash: 027076655d15551565504013z3005fmz11fz\r\nImphash: c5640c7a22008f949f9bc94a27623f95\r\n➤ Обнаружения: \r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 11 of 13\n\nBitDefender: Generic.Ransom.BlackKingdom.09C2D51C\r\nDrWeb: Trojan.PWS.Siggen3.12711\r\nESET-NOD32: Python/Filecoder.DM\r\nMalwarebytes: Trojan.Agent\r\nMicrosoft: Trojan:Win32/Wacatac.B!ml\r\nRising: Ransom.Agent!1.D430 (CLASSIC)\r\nTencent: Win32.Trojan.Filecoder.Efbb\r\nTrendMicro: TROJ_GEN.R002C0WC722\r\n=== 2025 ===\r\nНовость мая 2025:\r\nСША предъявили обвинения администратору вируса-вымогателя Black Kingdom в атаках на Microsoft\r\nExchange. Обвиняется гражданин Йемена Рами Халед Ахмед. Статья об этом \u003e\u003e\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + myMessage\r\n ID Ransomware (ID as BlackKingdom)\r\n Write-up, Topic of Support\r\n Thanks:\r\n GrujaRS, Michael Gillespie\r\n Andrew Ivanov (author)\r\n ***\r\n to the victims who sent the samples\r\n \r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 12 of 13\n\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html\r\nPage 13 of 13",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/02/blackkingdom-ransomware.html"
	],
	"report_names": [
		"blackkingdom-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434041,
	"ts_updated_at": 1775791311,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/5c486c18dec2da39437b03e9f4a652615802a749.pdf",
		"text": "https://archive.orkl.eu/5c486c18dec2da39437b03e9f4a652615802a749.txt",
		"img": "https://archive.orkl.eu/5c486c18dec2da39437b03e9f4a652615802a749.jpg"
	}
}