{
	"id": "701e7645-e197-46e0-8310-d2261d51bcef",
	"created_at": "2026-04-06T00:16:18.818138Z",
	"updated_at": "2026-04-10T03:29:39.897212Z",
	"deleted_at": null,
	"sha1_hash": "e4b103106869a408df0a8cd4519c9142ce1f0b4c",
	"title": "BlackCat, ALPHV",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 456617,
	"plain_text": "BlackCat, ALPHV\r\nArchived: 2026-04-05 20:13:03 UTC\r\nBlackCat Ransomware\r\nALPHV Ransomware\r\nBlackCat Hand-Ransomware\r\nAliases: ALPHV-ng, Noberus\r\n(шифровальщик-вымогатель, RaaS) (первоисточник на русском)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные бизнес-пользователей и корпоративных сетей с помощью комбинации\r\nалгоритмов AES-128 (режим CTR) и RSA-2048, а затем требует крупный выкуп в BTC или Monero, чтобы вернуть\r\nфайлы. Вместо AES может использовать алгоритм ChaCha20. Глобальный открытый ключ, используемый для\r\nшифрования локальных ключей, извлекается из файла конфигурации. Оригинальное название: ALPHV-ng RaaS.\r\nИспользуется язык программирования Rust. Может шифровать данные в системах Windows, Linux и VMWare eSXI. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Ransom.814\r\nALYac -\u003e Trojan.Ransom.BlackCat\r\nBitDefender -\u003e Trojan.GenericKD.38153014\r\nESET-NOD32 -\u003e Win32/Filecoder.OJP\r\nKaspersky -\u003e UDS:Trojan.Win32.Agentb.a, HEUR:Trojan-Ransom.Win32.BlackCat.gen\r\nLionic -\u003e Trojan.Win32.BlackCat.j!c\r\nMalwarebytes -\u003e Malware.AI.2115381737, Ransom.FileCryptor\r\nMicrosoft -\u003e Trojan:Win32/Woreflint.A!cl\r\nRising -\u003e Ransom.Blackcat!1.DB0B (CLASSIC)\r\nSymantec -\u003e Ransom.Noberus\r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 1 of 12\n\nTencent -\u003e Win32.Trojan.Filecoder.Lqor\r\nTrendMicro -\u003e TROJ_GEN.R002H09L321, TROJ_FRS.VSNTLA21, Ransom.Win32.BLACKCAT.YXBLMA\r\n---\r\n© Генеалогия: предыдущие известные \u003e BlackCat тестовый \u003e BlackCat (ALPHV) \u003e более новые\r\nЭтимология названия:\r\nВ слове ALPHV, без сомнения, скрыто слово ALPHA (альфа). Так вымогатели могли завуалировать первую версию\r\nсвоей вредоносной программы или под ним завуалирован имя (ник) разработчика программы-вымогателя или\r\nпредставителя группы вымогателей. ALPHV-ng - это дальнейшее развитие программы, где ng - Next Generation\r\n(англ. следующее поколение). \r\nДля русскоязычного пользователя слово BlackCat (\"Чёрный кот\" или \"Чёрная кошка\") и картинка в объяснении не\r\nнуждаются. Посмотрим насколько у них хватит духа или нюха продолжать этим пользоваться. \r\nСайт \"ID Ransomware\" идентифицирует это как BlackCat (ALPHV). \r\nИнформация для идентификации\r\nАктивность этого крипто-вымогателя была замечена в середине ноября и во второй половине ноября 2021 г. Тогда\r\nиспользовался более ранний вариант, созданный в начеле ноября 2021. Ориентирован на англоязычных\r\nпользователей, может распространяться по всему миру. На сайте утечек названо более 20 организаций из различных\r\nсекторов и стран, среди них:  Австралия, Франция, Германия, Италия, Нидерланды, Филиппины, Испания,\r\nВеликобритания, США, Багамские острова. \r\nК зашифрованным файлам добавляется настраиваемое семизначное буквенно-цифровое расширение файла.\r\nНапример, в одном из примеров было расширение: .sykffle\r\nЗаписка с требованием выкупа называется в этом примере: RECOVER-sykffle-FILES.txt\r\nПод XXX должно быть добавляемое расширение. Количество знаков может быть любым. \r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 2 of 12\n\nСодержание записки о выкупе:\r\n» Introduction\r\nImportant files on your system was ENCRYPTED and now they have have \"sykffle\" extension.\r\nIn order to recover your files you need to follow instructions below.\r\n» Sensitive Data\r\nSensitive data on your system was downloaded and it will be published if you refuse to cooperate.\r\nData includes:\r\n- Employees personal data, CVs, DL , SSN.\r\n- Complete network map including credentials for local and remote services.\r\n- Financial information including clients data, bills, budgets, annual reports, bank statements.\r\n- Complete datagrams/schemas/drawings for manufacturing in solidworks format\r\n- And more...\r\nPrivate preview is published here: hxxx://zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion/***\r\n» CAUTION\r\nDO NOT MODIFY FILES YOURSELF.\r\nDO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.\r\nYOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.\r\nYOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY.\r\n» Recovery procedure\r\nFollow these simple steps to get in touch and recover your data:\r\n1) Download and install Tor Browser from: https://torprojoject.org\r\n2) Navigate to: hxxx://mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion/?access-key=***\r\nПеревод записки на русский язык:\r\n» Введение\r\nВажные файлы в вашей системе были зашифрованы и теперь имеют расширение \"sykffle\".\r\nЧтобы восстановить ваши файлы, вам надо следовать инструкциям ниже.\r\n» Конфиденциальные данные\r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 3 of 12\n\nКонфиденциальные данные из вашей системы были скачаны и будут опубликованы, если вы откажетесь от\r\nсотрудничества.\r\nДанные включают:\r\n- Персональные данные сотрудников, резюме, DL, SSN.\r\n- Полная карта сети, включая учетные данные для локальных и удаленных служб.\r\n- Финансовая информация, включая данные клиентов, счета, бюджеты, годовые отчеты, банковские выписки.\r\n- Полные датаграммы / схемы / чертежи для производства в формате solidworks\r\n- И больше...\r\nПриватный превью опубликован здесь: http://***.onion/***\r\n\" ОСТОРОЖНО\r\nНЕ ИЗМЕНЯЙТЕ ФАЙЛЫ САМОСТОЯТЕЛЬНО.\r\nНЕ ИСПОЛЬЗУЙТЕ ПРОГРАММЫ ТРЕТЬИХ СТОРОН ДЛЯ ВОССТАНОВЛЕНИЯ ДАННЫХ.\r\nВЫ МОЖЕТЕ ПОВРЕДИТЬ СВОИ ФАЙЛЫ, ЭТО ПРИВЕДЕТ К ПОСТОЯННОЙ УТЕЧКЕ ДАННЫХ.\r\nВАШИ ДАННЫЕ НАДЕЖНО ЗАШИФРОВАНЫ, ВЫ НЕ МОЖЕТЕ РАСШИФРОВАТЬ ИХ БЕЗ КЛЮЧА\r\nШИФРОВАНИЯ.\r\n» Процедура восстановления\r\nВыполните следующие простые шаги, чтобы связаться и восстановить свои данные:\r\n1) Загрузите и установите Tor Browser с сайта: https://torprojoject.org\r\n2) Перейдите по адресу: http://***.onion/?access-key=***\r\nНеполный скриншот одного из сайтов вымогателей: \r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 4 of 12\n\nДругим информатором жертвы является изображение RECOVER-sykffle-FILES.txt.png, заменяющее обои Рабочего\r\nстола. \r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут\r\nбыть различия с первым вариантом. \r\nТехнические детали + IOC\r\nРекламируется с начала декабря 2021 на двух подпольных русскоязычных форумах киберандеграунда (XSS и\r\nExploit). Приглашаются пентестеры, операторы и участники других вымогательситк проектов. Аффилированным\r\nпартнерам обещается доход в размере от 80% до 90% от полученного выкупа. \r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и\r\nвредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы\r\nделайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Во время проведения атаки ALPHV используется PowerShell для изменения параметров безопасности Защитника\r\nWindows во всей сети жертвы, а также запускается двоичный файл программы-вымогателя, интерактивный процесс,\r\nна нескольких хостах с помощью PsExec. \r\n➤ Удаляет теневые копии файлов и моментальные снимки ESXi для предотвращения восстановления. \r\n➤ Использует команду для сбора универсальных уникальных идентификаторов (UUID) с зараженных машин. Затем\r\nUUID и параметр \"токен доступа\" используются для генерации «ACCESS_KEY». Подробнее в статье Symantec \u003e\u003e\r\n➤ Используется CryptGenRandom для генерации ключей шифрования. \r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 5 of 12\n\nДетали шифрования: \r\nВ автоматическом режиме BlackCat проверяет наличие аппаратной поддержки алгоритма AES (есть во всех\r\nсовременных процессорах) и использует её. Если нет поддержки AES, то BlackCat шифрует файлы с помощью\r\nалгоритма ChaCha20. Список типов файлов, подвергающихся шифрованию:\r\nПочти все типы файлов, кроме тех, что находятся в списках исключений. \r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы\r\nобразов, архивы и пр.\r\nСписок пропускаемых расширений: \r\n.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepacJc, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hip, .hta,\r\n.icl, .ico, .ics, .idx, .iens, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf,\r\n.psl, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx (50 расширений). \r\nСписок завершаемых процессов и служб: \r\nagntsvc, backup, dbeng50, dbsnmp, encsvc, excel, firefox, infopath, isqlplussvc, memtas, mepocs, msaccess, msexchange,\r\nmspub, mydesktopqos, mydesktopservice, notepad, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, powerpnt,\r\nsqbcoreservice, sql*, sql, sql, steam, svc$, synctime, tbirdconfig, thebat, thunderbird, veeam, visio, vss, winword, wordpad,\r\nxfssvccon, \r\nСписок пропускаемых директорий: \r\nAll users, Appdata, Application data, Boot, Config.msi, Default, Google, Intel, Mozilla, Msocache, Perflogs, Program files\r\n(x86), Program files, ProgramData, Public, Recycle.bin, System volume information, Tor browser, Windows.~ws, Windows,\r\nWindows.~bt, Windows.old \r\nСписок пропускаемых файлов:\r\nautorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.dbn, nthumbs.dbn, ntldr, ntuser.dat, ntuser.dat.log\r\nntuser.ini\r\nМаркер файлов: \r\n19 47 B7 4D в конце зашифрованного файла и перед зашифрованным ключом, который представляет собой JSON с\r\nнекоторыми настройками.  Файлы, связанные с этим Ransomware:\r\nRECOVER-sykffle-FILES.txt - название файла с требованием выкупа;\r\nRECOVER-sykffle-FILES.txt.png - изображение, заменяющее обои Рабочего стола; \r\nDllHost.exe, keller.exe, 3ddxzjjjn.dll - названия вредоносного файла. \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nC:\\Users\\User\\AppData\\Local\\Temp\\3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83.exe\r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 6 of 12\n\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов. \r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL (примеры): hxxx://zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion/b21***\r\nhxxx://mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion/***\r\nДля каждой новой атакованной компании создается новый onion-домен. \r\nEmail: - \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов: \r\nMD5: aea5d3cced6725f37e2c3797735e6467\r\nSHA-1: 087497940a41d96e4e907b6dc92f75f4a38d861a\r\nSHA-256: 3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83\r\nVhash: 0260876d15755c0d5d1d10c8z73210301hz15zf7z\r\nImphash: 2c3e267ae163c15bfc251e74ea5319b2\r\nНекоторые другие образцы можно найти на сайте BA:\r\nhttps://bazaar.abuse.ch/browse/tag/blackcat/\r\nСтепень распространённости: высокая.\r\nИнформация дополняется. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nТри года назад и ещё раз не так давно мы уже видели, как кто-то использовал название BlackCat Ransomware. Но\r\nтогда это активно не распространялось или проходило тестирование, поэтому не попало в наш Дайджест. На момент\r\nнаписания статьи никто не доказал и не опроверг связь сегодняшего BlackCat Ransomware с предыдущими. \r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 7 of 12\n\nВариант от 30 декабря 2021: \r\nРасширение: .jkkcgdp\r\nЗаписка: RECOVER-jkkcgdp-FILES.txt\r\n=== 2022 ===\r\nНовость от 4 февраля 2022: \r\nКраткое содержание интервью, данное аналитику Recorded Future Дмитрию Смилянцу представилем группы\r\nвымогателей из BlackCat (ALPHV). \r\nALPHV: Наше единственное имя - ALPHV. BlackCat был изобретен компанией The Record, а BC.a Noberus —\r\nкомпанией Symantec. \r\n---\r\n✋ Уточнение: Название BlackCat впервые использовано исследователем MalwareHunterTeam в Твиттере и сразу\r\nже опубликовано здесь, в Дайджесте, в этот статье. Все остальные публикации вторичны. \r\n---\r\nALPHV: ...Нет никакого ребрендинга или смешения талантов, потому что мы не имеем прямого отношения к\r\nпартнерским программам GandCrab/REvil, BlackMatter/DarkSide, Maze/Egregor, Lockbit и прочим. Мы\r\nпозаимствовали их достоинства и устранили их недостатки.\r\n...Мы без преувеличения считаем, что на данный момент на рынке нет конкурентоспособного нам программного\r\nобеспечения. Помимо качественного софта, для продвинутых партнеров мы предоставляем полный спектр услуг,\r\nсвязанных с выкупом — метавселенную или премиум-обслуживание. Мы в другой весовой категории, поэтому\r\nникого не признаем и не будем делать вымогательские дома TikTok. \r\n...Мы абсолютно не заинтересованы ни в каком сотрудничестве, расширении или взаимодействии с другими\r\nфилиалами и работаем только с русскоязычными партнерами. Недавно была первая чистка, скоро будет вторая и мы\r\nзакроемся. Географически расширяться не планируем, но обязательно добавим китайский язык после арабского... :)\r\n...Язык программирования RUST выбран как современный кроссплатформенный ЯП низкого уровня. В консольной\r\nкоманде имя проекта alphv-N(ext)G(eneration). Мы сделали действительно новый продукт, с новым внешним видом\r\nи подходом, отвечающим современным требованиям как к RaaS-решению, так и к высококлассному коммерческому\r\nПО.\r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 8 of 12\n\n...Мы не нападаем на госмедучреждения, машины скорой помощи, больницы. Это правило не распространяется на\r\nфармацевтические компании, частные клиники.\r\n...Наша главная цель — создать собственную метавселенную RaaS, включающую в себя весь спектр услуг,\r\nсвязанных с нашим бизнесом.\r\nНовость от 5 февраля 2022:\r\nBleepingComputer сообщает, что некоторые специалисты выявили совпадения в действиях предыдущих вымогателей\r\nBlackMatter/DarkSide и BlackCat/ALPHV. \r\nВариант от 11 марта 2022:\r\nРасширение: .yicrlka\r\nЗаписка: RECOVER-yicrlka-FILES.txt\r\nBitcoin: 1H3JFbyiwv6YeVW7K2mVjxHgNvJdXqJxiP\r\nMonero:\r\n46JqTG57Pv6GBRzjM9kHyCF8XHrAo9sr8dLuvqwcGbxT92dUAW12QpgZJnu32KrTfL1BzLp2sBi9G49JyXuRaKmT6JrJL9r\r\nВариант от 15 марта 2022:\r\nФайл: alpha.exe\r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 9 of 12\n\nРезультаты анализа: VT\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.35107\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.BlackCat.A\r\nMicrosoft -\u003e Ransom:Win32/BlackCat.A\r\nВариант от 18 марта 2022:\r\nРезультаты анализа: VT + IA\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.35107\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.BlackCat.A\r\nMicrosoft -\u003e Ransom:Win32/BlackCat.A\r\n*** пропущенные варианты ***\r\nВариант от 18 ноября 2022:\r\nРасширение: .vx6zwft\r\nRECOVER-vx6zwft-FILES.txt\r\nНовость от 17 августа 2023: \r\nBlackCat 2.0: Sphynx\r\nНовая версия BlackCat включает в себя сетевую структуру Impacket и хакерский инструмент RemCom, которые\r\nпозволяют распространяться по взломанной сети. Статья об этом варианте \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 10 of 12\n\nНовость от 19 октября 2023:\r\nBlackCat использует новый инструмент \"Munchkin\" для скрытых атак, который представляет собой ISO-файл,\r\nсодержащий настроенный дистрибутив Alpine OS Linux. После компрометации устройства злоумышленники\r\nустанавливают VirtualBox и создают новую виртуальную машину, используя ISO-образ. Этот Munchkin включает в\r\nсебя набор скриптов и утилит, которые позволяют злоумышленникам сбрасывать пароли, распространять их по\r\nсети, создавать полезную нагрузку шифратора BlackCat \"Sphynx\" и выполнять программы на сетевых компьютерах.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + Message + myMessage\r\n Write-up, Write-up, Topic of Support\r\n Added later: Write-up by Symantec\r\nAdded later: Write-up, Write-up, Write-up, Write-up, Write-up\r\n Thanks:\r\n MalwareHunterTeam, SAJID HASSAN\r\n Andrew Ivanov (article author)\r\n to authors of the newer researches\r\n to the victims who sent the samples\r\n \r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 11 of 12\n\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html\r\nPage 12 of 12",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2021/12/blackcat-ransomware.html"
	],
	"report_names": [
		"blackcat-ransomware.html"
	],
	"threat_actors": [
		{
			"id": "6e23ce43-e1ab-46e3-9f80-76fccf77682b",
			"created_at": "2022-10-25T16:07:23.303713Z",
			"updated_at": "2026-04-10T02:00:04.530417Z",
			"deleted_at": null,
			"main_name": "ALPHV",
			"aliases": [
				"ALPHV",
				"ALPHVM",
				"Ambitious Scorpius",
				"BlackCat Gang",
				"UNC4466"
			],
			"source_name": "ETDA:ALPHV",
			"tools": [
				"ALPHV",
				"ALPHVM",
				"BlackCat",
				"GO Simple Tunnel",
				"GOST",
				"Impacket",
				"LaZagne",
				"MEGAsync",
				"Mimikatz",
				"Munchkin",
				"Noberus",
				"PsExec",
				"Remcom",
				"RemoteCommandExecution",
				"WebBrowserPassView"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434578,
	"ts_updated_at": 1775791779,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e4b103106869a408df0a8cd4519c9142ce1f0b4c.pdf",
		"text": "https://archive.orkl.eu/e4b103106869a408df0a8cd4519c9142ce1f0b4c.txt",
		"img": "https://archive.orkl.eu/e4b103106869a408df0a8cd4519c9142ce1f0b4c.jpg"
	}
}