Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 200$ через кредитную / дебетовую карту, чтобы вернуть файлы. Оригинальное название: MindLost и Encryptor. На файле написано: Encryptor.exe и DeeRansomware.exe.
Запиской с требованием выкупа выступает изображение, загружаемое через онлайн-сервис imgbb.com
Содержание текста иски о выкупе: Don't Lose Your Mind But All Of Files Have Been Encrypted Now it's not too late, you can still get them back and go back to your life. All you have to do is go to xxxx://mindlost.azurewebsites.net and pay 200$ and all of yor files will be available to you again. When paying (and you will) enter your computer"s ID. You can find your computer"s ID in a file called ID.txt in your Desktop filder. Afterwards enter your credit card information to complete the payment. Now you can also purchase an insurance for an extra 50$. This means you will never be attacked by us again. This is strongly advised unless you want to go through all this again. When you finish paying just go to your Desktop folder, run Decrypter.exe and all of your files will be safety decrypted and available to you again. Q: What does it mean that all of my files have been encrypted? A: All of your files are safe and can be restired. They are simply not accessible to you unless you have the key to decrypt them which we will only provide if you pay us. Also don"t bother trying to break the encryption it's not possible. For more information you can go to xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard or at xxxx://mindlost.azurewebsites.net Перевод текста на русский язык: Не теряйте разум, но все файлы зашифрованы Еще не поздно, вы всё равно можете вернуть их и вернуться к своей жизни. Всего лишь нужно перейти на xxxx://mindlost.azurewebsites.net и заплатить 200$, и все ваши файлы вернутся к вам. При оплате (и вы захотите) введите свой ID компьютера. Найти ID вашего компьютера можно в файле ID.txt на вашем рабочем столе. Затем введите данные своей кредитной карты для завершения платежа. Сейчас вы можете также приобрести страховку за еще 50 $. Это значит, что вы больше никогда не будете атакованы нами. Это очень рекомендуется, если не хотите повторить все это снова. Когда вы заплатите, просто перейдите на Рабочий стол, запустите Decrypter.exe и все ваши файлы дешифруются и будут доступны для вас. Вопрос: Что значит, что все мои файлы были зашифрованы? Ответ: Все ваши файлы в безопасности и могут быть восстановлены. Они просто недоступны вам, если у вас нет ключа для их расшифровки, который мы дадим вам, когда заплатите нам. И не пытайтесь сломать шифрование, это невозможно. Для информации можете перейти на xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard или xxxx://mindlost.azurewebsites.net
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. !!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ MindLost прописывается в Автозагрузку системы, чтобы работать и после перезагрузки ПК. ➤ MindLost шифрует файлы и перенаправляет пользователей на сайт MindLost, чтобы заплатить выкуп через кредитную / дебетовую карту. ➤ MindLost использует онлайн-сервис xxxx://imgbb.com/ для бесплатной загрузки изображений с требованиями выкупа.
Список файловых расширений, подвергающихся шифрованию: .c, .jpg, .mp3, .mp4, .pdf, .png, .py, .txt Это документы PDF, фотографии, музыка, видео и пр. Шифровальщик пропускает файлы в следующих директориях: Windows Program Files Program Files (x86) Файлы, связанные с этим Ransomware: Encryptor.exe Decrypter.exe ID.txt wallpaper.bmp <random>.exe 3944a5cef4ba7955496e1e94a658bbnalysis_subject.exe Расположения: \Desktop\ -> \User_folders\ -> C:\Users\Johnson\AppData\Local\Temp\3944a5cef4ba7955496e1e94a658bbnalysis_subject.exe Записи реестра, связанные с этим Ransomware: HKU\S-1-5-21-3712457824-2419000099-45725732-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN "WindowsEnc" См. ниже результаты анализов. Мьютекс: Global\CLR_PerfMon_WrapMutex Сетевые подключения и связи: xxxx://mindlost.azurewebsites.net xxxx://imgbb.com/ xxxx://image.ibb.co/kO6xZ6/insane_uriel_by_urielstock_1.jpg - с любой цифрой См. ниже результаты анализов. Результаты анализов: Hybrid анализ >> VirusTotal анализ >>VT>> Intezer анализ >>IA>> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Как удалить? Как расшифровать? Как вернуть данные? По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. См. также статьи УК РФ: ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее) ст. 272 "Неправомерный доступ к компьютерной информации" ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для ключей, а затем требует выкуп в 1-3 Dash (крипто-валюта), чтобы купить у вымогателей GandCrab Decryptor и вернуть файлы. Оригинальное название: GandCrab. На файле написано: GandCrab.exe. Разработчики: скрываются под никами kdabjnrg, GandCrab, крабы. Есть сведения, что среди распространителей шифровальщика есть знающие русский язык, действующие из Украины иРумынии. Филиалы могут быть и в других странах.
Изображение не принадлежит шифровальщику (это логотип статьи)
К зашифрованным файлам добавляется расширение .GDCB
Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В первые дни распространения наибольшее количество пострадавших было в Южной Корее. Позже добавились пострадавшие из Бразилии, США, Индии, Индонезии, Пакистана и других стран. Спустя полтора месяца в числе стран с наибольшим количеством пострадавших: США (48%), Великобритания, Финляндия, Израиль (по 5%), Австралия (4%), Канада, Норвегия, Швеция (по 3%) и другие в меньшей степени. Записка с требованием выкупа называется: GDCB-DECRYPT.txt
Содержание записки о выкупе: ---= GANDCRAB =--- Attention! All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files. The server with your key is in a closed network TOR. You can get there by the following ways: 1. Download Tor browser - xxxxs://www.torproject.org/ 2. Install Tor browser 3. Open Tor Browser 4. Open link in tor browser: xxxx://gdcbghvjyqy7jclk.onion/6361f798c4ba3*** 5. Follow the instructions on this page If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser: 1. xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3*** 2. xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3*** 3. xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3*** 4. xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3*** 5. xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3*** On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. DANGEROUS! Do not try to modify files or use your own private key - this will result in the loss of your data forever! Перевод записки на русский язык: ---= GANDCRAB =--- Внимание! Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .GDCB Единственный способ восстановления файлов - купить закрытый ключ. Это на нашем сервере, и только мы можем восстановить ваши файлы. Сервер с вашим ключом находится в закрытой сети TOR. Вы можете добраться туда следующими способами: 1. Загрузите Tor-браузер - xxxxs: //www.torproject.org/ 2. Установите Tor-браузер 3. Откройте Tor-браузер 4. Откройте ссылку в Tor-браузере: xxxx://gdcbghvjyqy7jclk.onion/6361f798c4ba3*** 5. Следуйте инструкциям на этой странице Если браузер Tor / Tor-браузер заблокирован в вашей стране или вы не можете его установить, откройте одну из следующих ссылок в вашем обычном браузере: 1. xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3*** 2. xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3*** 3. xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3*** 4. xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3*** 5. xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3*** На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно. ОПАСНО! Не пытайтесь изменять файлы или использовать свой закрытый ключ - это приведет к потере ваших данных! Информация также находится на Tor-сайте вымогателей. Они обещают по истечении отведенного для выкупа срока удвоить сумму выкупа.
Скриншоты с Tor-сайта вымогателей
По всей видимости это первый крипто-вымогатель, который требует выкуп в крипто-валюте Dash. Судя по скриншотам, Dash за день даже подрос.
Технические детали
Распространяется через два набора эксплойтов: RIG EK и GrandSoft EK. Используется фальшивое обновление шрифтов (Font Update). Также распространяется как RaaS на форумах кибер-андеграунда, в том числе в Рунете. Может также начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, торрент-файлов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. !!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Это изображение из ресурсов шифровальщика. было представлено исследователем.
➤ Детектируемые языки крипто-вымогателя: английский и еврейский.
О чём это говорит? Тут могут быть разные варианты. ➤ 1. Распространение на подпольных форумах как RaaS и по партнерской программе. Запрещено запускать и работать в странах СНГ: Армения, Азербайджан, Беларусь, Грузия, Кыргызстан, Казахстан, Молдова, Россия, Таджикистан, Туркменистан, Украина, Узбекистан (краткий код стран - AM, AZ, BY, GE, KG, KZ, MD, RU, TJ, TM, UA, UZ). ➤ 2. Распространение через спам-рассылки с вредоносным вложением (PDF.EXE, DOC.JS, DOCM) и загрузками вредоносного содержимого с определённых сайтов. Для запуска скриптов используется технология PowerShell из набора Windows. - Пример темы письма: Receipt Feb-078122 - Пример вложения: Feb01221812.pdf ➤ GandCrab использует сервис определения IP-адреса атакуемого компьютера (whatismyipaddress.com), чтобы атаковать только ПК, находящиеся в Южной Корее или Западной Европе. ➤ Разработчики GandCrab используют DNS-сервер NameCoin, т.к. это затрудняет правоохранительным органам отслеживание владельца домена и удаление доменов. ➤ GandCrab проверяет наличие в системе exe-файлов антивирусов от следующих производителей: Avast, Avira, Comodo, ESET, F-Secure, Kaspersky, McAfee, Microsoft, Norton/Symantec, Panda, Trend Micro:
➤При первом запуске GandCrab попытается подключиться к C&C-серверу вымогателей, размещенному на одном из доменов Namecoin. При запросе адресов следующих доменов, используется команда nslookup [insert domain] a.dnspod.com, которая запрашивает сервер a.dnspod.com, поддерживающий TLD.bit (иначе говоря, домен верхнего уровня .BIT), для одного из доменов ниже: bleepingcomputer.bit nomoreransom.bit esetnod32.bit emsisoft.bit gandcrab.bit ➤Если компьютер жертвы не может подключиться к C&C-серверу, то шифровальщик GandCrab не будет шифровать файлы, но он будет продолжать работу в фоновом режиме, пытаясь получить IP-адрес для C&C-сервера и подключиться к нему. Как только он сможет разрешить домен, он подключится к IP-адресу C&C-сервера. ➤В настоящее время неизвестно, какие данные отправляются и извлекаются, но C&C-сервер, скорее всего, отправляет открытый ключ, который используется для шифрования файлов. Зато известно, какую информацию GandCrab собирает: имя пользователя, версия ОС, системный язык, наличие антивируса, тип и архитектура процессора, активные и используемые диски (по-буквенно) и прочее. ➤Во время этого процесса, GandCrab также будет подключаться к ipv4bot.whatismyipaddress.com для определения общедоступного IP-адреса жертвы.
➤ Перед шифрованием GandCrab завершает работу множества процессов, относящихся к системе, офисным приложениям, базам данных и прочих. Это закроет любые дескрипторы файлов, открытые этими процессами, чтобы их можно было правильно зашифровать. Вот список процессов в текстовом виде и на картинке: msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe
Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: xxxx://gandcrab.bit (78.155.206.6) - C2 xxxx://a.dnspod.com (112.90.141.215) - DNS-сервер xxxx://ipv4bot.whatismyipaddress.com (66.171.248.178 США) xxxx://66.171.248.178/ xxxx://92.53.66.11/*** xxxx://bot.whatismyipaddress.com/ --- xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3647 xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3647 xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3647 xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3647 xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3647 xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3647 --- xxxx://gdcbghvjyqy7jclk.onion/6c6a47a5c33fdc78 xxxx://gdcbghvjyqy7jclk.onion.casa/6c6a47a5c33fdc78 xxxx://gdcbghvjyqy7jclk.onion.guide/6c6a47a5c33fdc78 xxxx://gdcbghvjyqy7jclk.onion.plus/6c6a47a5c33fdc78 xxxx://gdcbghvjyqy7jclk.onion.rip/6c6a47a5c33fdc78 xxxx://gdcbghvjyqy7jclk.onion.top/6c6a47a5c33fdc78 --- xxx://sorinnohoun.com/*** - для загрузки вредоносного содержимого (PowerShell-скрипт) См. ниже результаты анализов. Результаты анализов: ANY.RUN анализ и обзор >> ANY.RUN анализ и обзор декриптора >> Гибридный анализ >>еще >> VirusTotal анализ >> Broad анализ >> Степень распространённости: высокая. Подробные сведения собираются регулярно.
Обновление от 31 января 2018: Пост в Твиттере >> Файл: Font_update.exe Результаты анализов: VT + HA ВНИМАНИЕ!!! GandCrab использует трюк с поддельным установщиком шрифтов (шрифт HoeflerText), который загружается со специально подготовленных сайтов.Установка вредоноса под видом шрифта — это давний излюбленный приём злоумышленников. Нельзя принимать на компьютер шрифты с ехе-расширениями и другими нетипичными для шрифтов. И даже в типичных случаях, если вы загрузили внешне легитимный файл шрифта с какого-то сайта, необходима тщательная проверка файла своим антивирусом и на сайтах онлайн-анализа. Только при 100% положительном результате используйте шрифт на своем компьютере. Трюк со шрифтом HoeflerText ранее использовался во вредоносной кампании Spora Ransomware и некоторых других.
Обновление от 5 февраля: Пост в Твиттере >> dns.soprodns.ru - новый DNS-сервер nomoreransom.coin - новый C2-сервер Результаты анализов: AR + VT Обновление от 7 февраля: К распространению добавился malspam (спам-рассылки с вредоносами). Письма замаскированы под платежные квитанции с темами типа Receipt Feb-078122. Если получатель откроет вложение без предварительной проверки антивирусной программой, то по содержащейся в нём ссылке с сайта butcaketforthen.com сразу загружается DOC-файл с макросом, который запускает PowerShell-скрипт, устанавливающий GandCrab с сайта sorinnohoun.com Статья об этом обновлении на BleepingComputer.com >> Файл: nslookup.exe Результаты анализов: VB + VT + HA
Обновление от 21 февраля 2018: GandCrab версия 2.3r Пост в Твиттере >> Результаты анализов: VT
Обновление от 23 февраля 2018: GandCrab версия 2.3.1r Пост в Твиттере >> Результаты анализов: VT + Cape
Обновление от 27 февраля 2018: GandCrab версия 2.3.2r Пост в Твиттере >> Результаты анализов: VB
Обновление от 1 марта:
Заявление русскоязычных распространителей, которые называют себя — крабы.
=== 2019 ===
Обновление от 1 июня 2019. GandCrab закрылся! Представитель GandCrab на форуме, где они изначально продвигали свое вредоносное решение среди таких вымогателей, хакеров и прочих представителей кибер-криминала, сообщил о закрытии проекта GandCrab. При этом он заявил, что вместе с закрытием вымогательского проекта GandCrab они намерены удалить все ключи дешифрования, что исключить возможность восстановления файлов на ПК пострадавших. Таким образом они или хотят побудить пострадавших заплатить неуплаченные ранее выкупы, или же в самом деле планируют уничтожить ключи. В отличие от них, как известно, разработчики других шифровальщиков (TeslaCrypt, Crysis и пр.) в своё время публиковали оставшиеся ключи в открытый доступ, чтобы жертвы могли восстановить свои данные, пусть и не сами, а с помощью разработчиков дешифровщиков и специалистов антивирусных компаний.
За последний месяц распространения (май 2019) у GandCrab наблюдалось стойкое снижение вредоносной и клиентской активности. Потому его закрытие было предрешено.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать GandCrab Decrypter для дешифровки >>
В первую очередь прочтите инструкцию и рекомендации.
Самое главное — не сделать себе хуже, чем уже есть.
Thanks:
AnyRun, GrujaRS, David Montenegro
MalwareHunterTeam, Marcelo Rivero
Andrew Ivanov and my volunteers
Lawrence Abrams, Marcelo Rivero
and others...
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: RansomUserLocker. На файле написано: RansomUserLocker.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
Содержание текста о выкупе: Your ID DEA7-F40B-5629-2EF5-0EDA-C2A0-8990-0CF5-56DT *** текст на корейском *** Перевод текста на русский язык (примерный перевод автора блога): Your ID DEA7-F40B-5629-2EF5-0EDA-C2A0-8990-0CF5-56DT 1. Что случилось с вашим компьютером? Ваши личные файлы, включая ваши фото, документы, видео и другие важные файлы были зашифрованы с RSA-4096, сильным алгоритмом шифрования. Алгоритм RSA генерирует открытый и закрытый ключи для вашего компьютера. Открытый ключ был использован для шифрования файлов. Закрытый ключ нужен, чтобы расшифровать и восстановить файлы. Ваш закрытый ключ хранится на нашем секретном сервере. Никто не сможет восстановить ваши файлы без этого ключа. 2. Как расшифровать мои файлы? Для расшифровки и восстановления файлов вы должны заплатить за секретный ключ и дешифровку. У вас есть только 72 часа чтобы сделать оплату. Если оплата не будет сделана за это время, то ваш закрытый ключ будет автоматически удалён с нашего сервера. Не тратьте своё время, т.к. нет никакого другого пути, чтобы восстановить ваши файлы, кроме оплаты выкупа. 3. Как заплатить за мой личный ключ? Выполните следующие шаги для оплаты и восстановления файлов: 1). Оплата возможна только в биткоинах. Поэтому, пожалуйста, купите 1 BTC, а затем отправьте по указанному ниже адресу. 2). Пришлите ваш ID (Personal ID) на наш официальный email-адрес ниже: Official Mail: owerhacker@hotmail.com Обязательно проверьте свою личную информацию. Пожалуйста, воздержитесь от оскорблений и отправьте мне email в тот же день. Ваш персональный ID указан в заголовке этого экрана. 3). Вы получите дешифратор и закрытый ключ для восстановления всех файлов за один рабочий день. 4. Как найти и купить биткоины? Приобретите и отправьте 1 биткоин на наш биткоин-кошелек: 1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v 1) *** 2) *** 3) *** 4) Пожалуйста, купите биткоины и отправьте ваш ID по почте на наш официальный email-адрес. Мы не хорошие люди. Но мы должны держаться в той области, где мы это делаем.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. !!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: Read_Me.txt RansomUserLocker.exe Расположения: \Desktop\ -> \User_folders\ ->
Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: owerhacker@hotmail.com См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >> Другой анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter
ID Ransomware (ID under HiddenTear)
Write-up, Topic of Support
*
Thanks:
Lawrence Abrams, BleepingComputer
Michael Gillespie
Andrew Ivanov
*