SuperBlack

SuperBlack Ransomware

SuperBlack Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться через Tox-чат с вымогателями, чтобы узнать, как заплатить выкуп и расшифровать файлы. Оригинальное название, видимо, SuperBlack. На файле написано: нет данных. Также используется вайпер WipeBlack. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.31074
BitDefender -> Trojan.GenericKDZ.107474
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.M
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Lockbit.Ransom.FileEncryptor.DDS
Microsoft -> Ransom:Win32/Lockbit.HA!MTB
Rising -> Ransom.LockBit!1.DFDC (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Crypmodng.gz
TrendMicro -> Ransom.Win32.LOCKBIT.SMYXCJN
---

© Генеалогия: BlackMatter >> LockBit 3.0 Black (2022) >> CriptomanGizmo > SuperBlack

Сайт "ID Ransomware" может идентифицировать SuperBlack как один из предыдущих вариантов. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце января 2025 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: fB1SZ2i3X.README.txt
Первая часть названия может меняться. 

Содержание записки о выкупе:

>>>> Your data are stolen and encrypted!

>>>> Sensitive data on your system was DOWNLOADED and it will be PUBLISHED if you refuse to cooperate. Your competitors or law enforcement may get them on the web.

Data includes:

- Employees personal data, CVs, DL, SSN.

- Complete network map including credentials for local and remote services.

- Financial information including clients data, bills, budgets, annual reports, bank statements.

- Complete datagrams/schemas/drawings for manufacturing in solidworks format

- And more...

You can request the tree of files that we have.

>>>> You need contact us and decrypt one file for free, send a small file for test decryption with your personal DECRYPTION ID to tox chat:

>>>> Your personal DECRYPTION ID: 7FBC34A4128F7B751D3B2C**********

1)Download and install TOX chat: https://tox.chat

2)Write to this tox id: DED25DCB2AAAF65A05BEA584A0D1BB1D55DD2D8BB4185FA39B5175C60C8DDD0C0A7F8A8EC815 and wait for the answer, we will always answer you.

>>>> DO NOT MODIFY FILES YOURSELF.

>>>> DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.

>>>> YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.

>>>> YOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY.

Зашифрованные файлы получают новый характерный значок, обои Рабочего стола заменяются.  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
fB1SZ2i3X.README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG

MD5: e09dd7cca0c6c147ba21b4062e723c5b 

SHA-1: ff6333bdda824e4c13bcd13351bd4bb14aaeab11 

SHA-256: d9938ac4346d03a07f8ce8b57436e75ba5e936372b9bfd0386f18f6d56902c88 

Vhash: 01506666151d7d7567za1z8nz7fz 

Imphash: 914685b69f2ac2ff61b6b0f1883a054d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Doglun

Doglun Ransomware

D0glun 4.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться через чат на сайте в сети Tor, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Doglun. На файле написано: @D0GLUN@.exe, 澪川 (перевод на нагл. "Mio River"), 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41805
BitDefender -> Application.Generic.3889144
ESET-NOD32 -> ESET-NOD32

A Variant Of Win32/Packed.NoobyProtect.G Suspicious

Kaspersky -> Trojan-Ransom.Win32.Encoder.abzj
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/Cryptolocker!rfn
Rising -> Trojan.Kryptik@AI.94 (RDML:fhuyHlTk41ds0IP4+Zv
Tencent -> Malware.Win32.Gencirc.10c0c153
TrendMicro -> ***
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был обнаружен в конце января 2025 г.  Ориентирован на китайских пользователей, может распространяться по всему миру. Пока ничего неизвестно о распространении, может быть тестовым вариантом. 

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола. 

Содержание текста о выкупе:

你的文件已被加密

我的电脑出了什么问题？

您的电脑部分文件被我加密保存了

文件类型有 zip|rar|png|jpg|txt|mp4 等等各种常见文档文件

----------------------------------------------------------

在未解密前，请勿尝试任何杀毒软件，否则我无法保证你的文件安全

-------------------------------------------

我该如何恢复我的重要文件？

-----------------------------

请下载Tor浏览器，在你的右边

然后访问以下地址

33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

寻求帮助

这是我的BTC收款地址

1MJJVws3HccTGd14CV3qX21G7gzcJj77UH

Перевод текста на английский язык:

Your files have been encrypted

What's wrong with my computer?

Some of your computer files have been encrypted and saved by me

File types include zip|rar|png|jpg|txt|mp4 and other common document files

----------------------------------------------------------

Before decryption, please do not try any antivirus software, otherwise I cannot guarantee the safety of your files

-------------------------------------------

How can I recover my important files?

-----------------------------

Please download Tor browser, on your right

Then visit the following address

33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

Ask for help

This is my BTC payment address

1MJJVws3HccTGd14CV3qX21G7gzcJj77UH

Записка с требованием выкупа также написана на экране блокировки. Текст примерно соответствует переведенному выше, потому дублировать нет смысла. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
notes.txt - название файла с требованием выкупа;

yyy.png - файл изображения, загружаемый онлайн; 

@d0glun2@.bmp, @Main wallpaper.bmp - файлы изображений для замены обоев Рабочего стола; 
@D0GLUN@.exe, file.exe - названия вредоносных файлов;

1f7e3eed1b7c423c8d00cc0ae76d4eba6cd98bd7cd12c81e9468414c13dd31e0.exe - случайное название вредоносного файла;

0nion@Î´¨&.exe - название вредоносного файла;

0nion@¿Î´¨&.txt - файл с информацией; 

1.@d0glun@.key - файл с информацией; 

2.@d0glun@.key - файл с информацией; 

3.@d0glun@.key - файл с информацией; 

4.@d0glun@.key - файл с информацией; 

5.@d0glun@.key - файл с информацией; 

6.@d0glun@.key - файл с информацией; 

7.@d0glun@.key - файл с информацией; 

finances.doc, report.pdf, time 2025Äê1ÔÂ27ÈÕ10ʱ25·Ö48Ãë.txt - другие файлы с информацией; 

2.txt.0nion@¿Î´¨&, 3.zip.0nion@¿Î´¨&, lnk.0nion@¿Î´¨& - другие файлы;

@D0GLUN@.KEY.VBS - файл скрипта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\@D0GLUN@.exe

C:\@Main wallpaper.bmp

C:\@d0glun2@.bmp

C:\Users\user\Desktop\file.exe

xxxx://www.pcbug.top/yyy.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

Email: -
BTC: 1MJJVws3HccTGd14CV3qX21G7gzcJj77UH

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: ea128897b942f50524dee89eaa28602e 

SHA-1: 60b79bfdc7e8ff357a95ce0e5d18d7e69ecefedb 

SHA-256: 1f7e3eed1b7c423c8d00cc0ae76d4eba6cd98bd7cd12c81e9468414c13dd31e0 

Vhash: 03605f7e7d1d1570101011z11z1015z101013z13z11z101017z 

Imphash: c62b27424960b7afa2f377b70e536277

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Spring

Spring Ransomware

Spring Conti-based Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью комбинации алгоритмов AES+RSA, при этом часть информации крадется, а затем требует написать в чат Tox, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Conti (RSA-3072) >> Spring

Сайт "ID Ransomware" Spring пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .spring

Фактически используется составное расширение: .FIND_EXPLAIN.TXT.spring

Записка с требованием выкупа называется: EXPLAIN.txt

Содержание записки о выкупе:

Your data has been downloaded and encrypted!

There is only one way to get your files back:

1. Contact with us.

2. Send us any 3 encrypted files and your personal ID.

3. We will decrypt 3 files for a test (maximum file size 5MB), this ensures that we can decrypt your files.

4. Pay.

5. We will send you the decryption software.

Attention!

Do not rename encrypted files.

Do not try to decrypt with third-party software, this may lead to permanent data loss.

Decrypting your files with third parties may result in an increased price (they add their commission to ours), or you may become a victim of fraud.

Primary contact TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

If you have not received a response within 24 hours, write to this email address: Jonson.Tifoni05634@zohomail.com

Your personal ID: BKJZSQ6***

Перевод записки на русский язык:

Ваши данные загружены и зашифрованы!

Есть только один способ вернуть ваши файлы:

1. Контакт с нами.

2. Отправьте нам любые 3 зашифрованных файла и ваш личный ID.

3. Мы расшифруем 3 файла для теста (максимальный размер файла 5 МБ), это гарантирует, что мы сможем расшифровать ваши файлы.

4. Оплатите.

5. Мы отправим вам программу для расшифровки.

Внимание!

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей), или вы можете стать жертвой мошенничества.

Основной контакт TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

Если вы не получили ответ в течение 24 часов, напишите на этот адрес электронной почты: Jonson.Tifoni05634@zohomail.com

Ваш личный ID: BKJZSQ6***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

EXPLAIN.txt - название файла с требованием выкупа;

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Jonson.Tifoni05634@zohomail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

FunkSec, FunkLocker

FunkSec Ransomware

FunkLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.1 BTC, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Ghost.exe или что-то еще. 
---
Обнаружения:
DrWeb -> Trojan.Siggen30.47180, Trojan.Encoder.41486
BitDefender -> Trojan.Ransom.FunkSec.C, Trojan.Ransom.FunkSec.A
ESET-NOD32 -> A Variant Of Win64/Filecoder.RN
Kaspersky -> Trojan.Win32.DelShad.myd, Trojan-Ransom.Win32.Gen.bbwz
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Alevaul!rfn, Trojan:Win32/Acll
Rising -> Ransom.FunkSec!1.127E0 (CLASSIC)

Symantec -> Ransom.Funk
Tencent -> Malware.Win32.Gencirc.10c09325, Malware.Win32.Gencirc.10c0938a
TrendMicro -> Ransom_Funksec.R002C0DAB25, Ransom.Win64.FUNKSEC.THAOFBE
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Lock

Записка с требованием выкупа называется: README-nwESnQ9XQr.md

Содержание записки о выкупе:

FUNKLOCKER DETECTED

**Congratulations**  Your organization, device has been successfully infiltrated by funksec ransomware!

**Stop**

- Do NOT attempt to tamper with files or systems.

- Do NOT contact law enforcement or seek third-party intervention.

- Do NOT attempt to trace funksec's activities.

**What happened**

- Nothing, just you lost your data to ransomware and can't restore it without a decryptor.

- We stole all your data.

- No anti-virus will restore it; this is an advanced ransomware.

**Ransom Details**

- Decryptor file fee: **0.1 BTC**

- Bitcoin wallet address: *bclqrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq*

- Payment instructions:

 1. Buy 0.1 bitcoin.

 2. Install session from: https://getsession.org/

 3. Contact us with this ID to receive the decryptor:

---hidden information---

**How to buy bitcoin**

- Go to [Coinbase](https://www.coinbase.com/) or any similar website like [Blockchain]

(https://www.blockchain.com/), use your credit card to buy bitcoin (0.1 BTC), and then send it to the wallet address.

**Who we are**

- We are an advanced group selling government access, breaching databases, and destroying websites and devices.

**Websites to visit**

- funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

- funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

- funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

*Start dancing, 'cause the funk's got you now!*

Sincerely,

Funksec cybercrime

Перевод записки на русский язык:

FUNKLOCKER ОБНАРУЖЕН 

**Поздравляем** Ваша организация, устройство были успешно взломаны  funksec ransomware!

**Стоп**

- НЕ пытайтесь вмешиваться в файлы или системы.

- НЕ обращайтесь в полицию или к третьим лицам.

- НЕ пытайтесь отслеживать действия funksec.

**Что произошло**

- Ничего, просто вы потеряли свои данные из-за ransomware и не сможете восстановить их без дешифратора.

- Мы украли все ваши данные.

- Ни один антивирус не восстановит их; это продвинутый ransomware.

**Сведения о выкупе**

- Плата за файл дешифратора: **0,1 BTC**

***

Заменяет обои Рабочего стола своим изображением:  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-nwESnQ9XQr.md - название файла с требованием выкупа;

RansomwarePassword123downloaded_wallpaper.jpg

Ghost.exe - название вредоносного файла;
ransomware.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\<USER>\Desktop\Ghost.exe

xxxxs://i.imgur.com/HCYQoVR.jpeg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:

xxxx://funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

xxxx://funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

xxxx://funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

Email: -
BTC: bc1qrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: c5c47f7a17ef4533d1c162042aa0313b 

SHA-1: b1022afe74471f945b18efed4366598bc6abb192 

SHA-256: c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c 

Vhash: 056056655d15655043zb2z583z61z15za013z14z137z 

Imphash: c275cf5ef0de7610abe08c6b7814adba

---

IOC: VT, HA, IA, TG, AR

MD5: 54e383ca658ebd3caaf586f032f1c401 

SHA-1: bc013aace5491c65a869e944123a4344cea6c1f0 

SHA-256: b1ef7b267d887e34bf0242a94b38e7dc9fd5e6f8b2c5c440ce4ec98cc74642fb 

Vhash: 056056655d15655043zb2z553z69za5z14z137z 

Imphash: ce5f91eb3b1ebc7df7d7ab97a153e7b7

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.