Lalia

Lalia Ransomware

LaliaLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться с вымогателями для уплаты выкупа, чтобы вернуть файлы. Оригинальное название: LALIA Ransomware. На файле написано: 5ptcbui0x.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.45055
BitDefender -> Trojan.GenericKD.80105176
ESET-NOD32 -> Win64/Filecoder.TV Trojan
Kaspersky -> Trojan.Win32.DelShad.qci
Malwarebytes -> Ransom.FileCryptor
Microsoft -> ***
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Delshad.Ytjl
TrendMicro -> Trojan.Win32.ZYX.USBLEB26
---

© Генеалогия: родство выясняется >> Lalia (LaliaLocker)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале мая 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lalia

Записка с требованием выкупа называется: RECOVERY_INFO.tx

Содержание записки о выкупе:

ATTENTION! Your files have been encrypted by LALIA Ransomware.

Sensitive data has been exfiltrated. Do not attempt to decrypt files yourself - this will lead to irreversible data loss and information leak.

WHAT YOU MUST NOT DO:

- Do not use recovery tools

- Do not rename files

- Do not contact law enforcement

To make sure that we REALLY CAN recover data - we offer you to decrypt samples.

You have 72 hours to contact us on qTox:

qTox ID: 7F21082F19B6EB818083A9920D654533FB9CA***

Download qTox: https://github.com/qTox/qTox/releases

Your Chat ID for verification: G123G*****

After deadline your data will be sold or published. Follow our instructions to avoid reputational losses.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVERY_INFO.tx - название файла с требованием выкупа;

lalia.log - файл для записи логов; 
5ptcbui0x.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%TEMP%\lalia.log

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 7c6d94c71f5fcedde20fa05a7ab3dc07

SHA-1: c1a0ed6fe8a88c61a13a3c597be12357819d7bcc

SHA-256: 7b7e7ef365fb79ba95e27d96c4084b93fc84b05b34bf9c42bd46029fa3dc9dd9

Vhash: 0750a66d1555555c055d0049z91a1z4@z

Imphash: da270f0a2a2e38cb99bfa1b7a2f43d40

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sorry 2026

Sorry 2026 Ransomware

SorryGo Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на сайтах и Linux-серверах помощью комбинации алгоритмов AES+RSA-2048, а затем требует выкуп, чтобы вернуть файлы. Сообщение от вымогателей внедряется в код веб-сайта и показывается на страницах и в некоторых случаях многократно повторяется. Оригинальное название: в записке не указано. Написан на языке программирования Go. 

---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Sorry 2026 (SorryGo)

Сайт "ID Ransomware" пока отдельно Sorry 2026 Ransomware не идентифицирует. Старая идентификация по расширению .sorry связана с Sorry HT Ransomware (2018 г.), который основан на HiddenTear. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце апреля — начале мая 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .sorry

Записка с требованием выкупа называется: README.md

Содержание записки о выкупе:

Please contact us through the qtox tool

Download qtox hxxxs://github.com/qTox/qTox/blob/master/README.md#qtox 

If you can't contact us, please contact some data recovery company(suggest taobao.com), may they can contact to us.

Add our TOX ID and send an encrypted file and 'Sorry-ID' for testing decryption.

Our TOX ID: 3D7889AEC00F2325***

Примеры того, как сообщение от вымогателей внедряется в код веб-сайта и показывается на его страницах.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.md - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, jbbjunior
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Rex, Rex48

Rex Ransomware

Rex48 Ransomware

Dementor Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем сообщает о взломе сети и требует выкуп за расшифровку файлов. Оригинальное название: в записке не указано. На файле написано: 0ra9cvl3.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44943
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win64/Filecoder.Dementor.B Trojan
Kaspersky -> Trojan-Ransom.Win32.Encoder.ahex
Malwarebytes -> PasswordStealer.Spyware.Stealer.DDS
Microsoft -> Trojan:Win32/Ravartar!rfn
Rising -> Ransom.Dementor!8.1DB60 (TFE:5:IXiVokobZTU)
Tencent -> ***
TrendMicro -> Ransom.Win64.DEMENTOR.TL0101E226ZZ
---

© Генеалогия: родство выясняется >> Rex (Rex48)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце апреля 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .rex48 или с другой цифрой на конце.


Записка с требованием выкупа называется: RANSOM_NOTE.html

Содержание записки о выкупе:

Your personal ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE WILL PERMANENTLY CORRIPT IT. DO

NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to solve your problem. We gathered highly confidential personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment. If you decide to not pay. we will release your data to public or re-seller. So you can expect your data to be publicly available in the near future.. We only seek money and our goal is not to damage your reputation or prevent your business from running. You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

Email:

recovery2@salamati.vip

recovery2@amniyat.xyz

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RANSOM_NOTE.html - название файла с требованием выкупа;
0ra9cvl3.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: recovery2@salamati.vip, recovery2@amniyat.xyz
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9e9055b1a14e5a4466e735f54d344b87

SHA-1: 692c15eb37b396c451cb796e6f3567b855aa86f3

SHA-256: fa21235ec582cfd36a1b539bf1d7eeaf033209b72631dac5b6f36d2dab08500a

Vhash: 026056655d556550a8z35181z53z35z1lz

Imphash: bfd691ca28d94e5bbf3bb1010bcbcef7

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Killada

Killada Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha20-GNACH, а затем требует выкуп в 0.1111 BTC, чтобы вернуть файлы. Оригинальное название: Killada Ransomware. На файле написано: killada.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44675
BitDefender -> Trojan.GenericKD.79799674
ESET-NOD32 -> Win64/Filecoder.ALU Trojan
Kaspersky -> Trojan-Ransom.Win32.Encoder.agut
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Stealer.Greedy!8.133BA (CLOUD)
Tencent -> Win32.Trojan-Ransom.Encoder.Nqil
TrendMicro -> TROJ_FRS.VSNTCV26
---

© Генеалогия: родство выясняется >> Killada 

Сайт "ID Ransomware" Killada пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце марта 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: KILLADA_README.txt

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KILLADA_README.txt - название файла с требованием выкупа;
killada.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: killadaayyuzdshwskrnsvh5owzuwa4yj7gs2vbhkcjpfslrplfgwwqd[.]onion

killadaxczzw3wnuaxkygib67lk2qkgnki4gyjqoo76vh53egitoyaqd[.]onion

killadax36r6bbb3md67ekcfv5yasdlnoaklyag66ot4tefa32ywgnyd[.]onion

killadahaynpqrkppe2m2tgindbruaeiefzr7pm3cp47tzohhhnogwad[.]onion

killada7qgdpvzpezjxaa64b47bz47hzbn6oql5aa4lppzzwymnukqqd[.]onion

killada5556ahpb4cwmatv5qpzku2qmdlwawshtykpq37cvfva7zjhid[.]onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f444568cedf788ef157356fea05bcc49

SHA-1: d449bd9a79062729e9a60064ed32ca8669d4a525

SHA-256: 75c4d15bddcd401088d1a9f0a3364382482ea0689427526a5d0919b375a9779c

Vhash: 055066655d155d055095zb00793z5hz6fz

Imphash: 53b37c3b9f37d7f06071a7dd9d5e5333

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Vect, Vect 2.0

Vect Ransomware

Vect 2.0 Ransomware

(шифровальщик-вымогатель, RaaS) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма ChaCha20, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Vect Ransomware. Написан на C++. Реализованы версии для Windows, Linux и ESXi. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.44641
BitDefender -> Trojan.GenericKD.79790997
ESET-NOD32 -> Win64/Filecoder.AJK Trojan
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Crypt.Trojan.MSIL.DDS
Microsoft -> Ransom:Win32/Avaddon.P!MSR
Rising -> Malware.Undefined!8.C (TFE:5:srMXcmKa5V)
Tencent -> Malware.Win32.Gencirc.10c44f90
TrendMicro -> Ransom.Win64.TRANCEV.THDBHBF
---

© Генеалогия: родство выясняется >> Vect, Vect 2.0

Сайт "ID Ransomware" идентифицирует Vect с 28 апреля 2026.

Информация для идентификации

Активность этого крипто-вымогателя началась в конце 2025 — начале 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Сектор атакованных компаний: финансы, образование, логистика, здравоохранение, производство и др. Страны атакованных компаний: ЮАР, Индия, Бразилия, США, Намибия, Эквадор и др. 

К зашифрованным файлам добавляется расширение: .vect

Записка с требованием выкупа называется: !!!_READ_ME_!!!.txt

Содержание записки о выкупе:

!!! README !!!

Dear Management, all of your files have been encrypted with ChaCha20 which is an unbreakable encryption algorithm.

Sadly, this is not the only bad news for you. We have also exfiltrated your sensitive data, consisting mostly of databases, backups and other personal information

from your company and will be published on our website if you do not cooperate with us.

The only way to recover your files is to get the decryption tool from us.

To obtain the decryption tool, you need to:

1. Open Tor Browser and visit: -

2. Follow the instructions on the chat page

3. Receive a sample decryption of up to 4 small files

4. We will provide payment instructions

5. After payment, you will receive decryption tool

WARNING:

- Do not modify encrypted files

- Do not use third party software to restore files

- Do not reinstall system

If you violate these rules, your files will be permanently damaged.

Files encrypted: -

Total size: 121417406 bytes

Unique ID: ***

Backup contact (Qtox): 1A51DCBB33***

Записка вымогателей также написана на изображении, заменяющем обои Рабочего стола: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Vect Ransomware как RaaS впервые появился на русскоязычном кибер-форуме в декабре 2025 года. В начале 2026 года группа вымогателей сообщила о первых двух жертвах и привлекла к себе внимание заявлением на BreachForums о партнерстве с TeamPCP, стоящей за несколькими атаками в марте 2026 года. Операторы Vect ищут "партнеров" через BreachForums, раздают ключи доступа в личных сообщениях. Согласно отчету Data Security Council of India (DSCI), с новичков они берут $250 в Monero, но с кандидатов из стран СНГ плату не взимают.

➤ Исключения: 

Vect завершает работу без шифрования файлов, если обнаруживает, что работает в любой из стран СНГ и даже Украине, что редко встречается в атаках после 2022 года. В Check Point считают, что это может указывать на старую кодовую базу или на генерацию части кода с помощью ИИ, обученного на устаревших данных.

➤ Особенности версий: 

Версия для Windows шифрует локальные, съемные и сетевые диски, проверяет наличие 44 ИБ-инструментов и отладчиков, закрепляется в системе через Safe Mode и содержит шаблоны скриптов для латерального перемещения. ESXi-вариант перед шифрованием запускает геофенсинг и антиотладочные проверки, а также пытается распространяться через  SSH. Linux-версия, в свою очередь, использует ту же кодовую базу, что и ESXi, однако обладает урезанным набором функций.

➤ Критическая ошибка: 

Check Point сообщают, что в версии Vect 2.0 для Windows, Linux и ESXi содержится критический баг. Вредонос разбивает каждый крупный файл (> 128 Кб, т.е. 131 072 байта) на четыре части и шифрует их независимо, генерируя для каждого блока свой "nonce" (размером в 12-байт), записывая все значения в один и тот же буфер памяти, в результате чего каждый новый "nonce" перезаписывает предыдущий, а первые три теряются: не сохраняются в файле и не отправляются операторам. Таким образом Vect 2.0 не только шифрует, но уничтожает примерно 75% содержимого файла. Уплата выкупа бесполезна, дешифратор не поможет, данные безнадёжно повреждены.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!_READ_ME_!!!.txt - название файла с требованием выкупа;
dp6fd66.exe -  название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: aa72609186042f1d7d01ce070306a9f2

SHA-1: e27f4feffc1ba6bf4e35aec4a5270fccb636e5cf

SHA-256: e512d22d2bd989f35ebaccb63615434870dc0642b0f60e6d4bda0bb89adee27a

Vhash: 0160a76d1565555c0d1d10c5zc00715d037z19z55z37z

Imphash: d810a3536bf9eca80e4f8d1d08537d0b

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 CheckPoint, TheHackerNews, BleepingComputer, Xakep.ru
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.