Corona

Сorona Ransomware

Сoronaviryz Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Образец вредоносного файла не обнаружен. 
---

© Генеалогия: Paymen45 ? >> Corona

Сайт "ID Ransomware" идентифицирует это как Paymen45. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине февраля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .corona

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:

Your personal ID: no7dead70ed7

To recover data you need decrypt tool.

To get the decrypt tool you should:

Send your personal ID to coronaviryz@gmail.com

Or alternate mail korona@bestkoronavirus.com

Or jabber coronavirus@exploit.im

MOST IMPORTANT!

Do not contact other services that promise to decrypt your files, this is fraud on their part! They will buy a decoder from us, and you will pay more for his services.

Only (coronaviryz@gmail.com/korona@bestkoronavirus.com/coronavirus@exploit.im) can decrypt your files.

Antivirus programs can delete this document and you can not contact us later.

Attempts to self-decrypting files will result in the loss of your data.

Перевод записки на русский язык:

Ваш личный ID: no7dead70ed7

Для восстановления данных вам нужен инструмент расшифровки.

Чтобы получить инструмент расшифровки, вам необходимо:

Отправьте свой личный ID на coronaviryz@gmail.com

Или альтернативная почта korona@bestkoronavirus.com

Или jabber коронавирус@exploit.im

САМОЕ ВАЖНОЕ!

Не связывайтесь с другими сервисами, которые обещают расшифровать ваши файлы, это мошенничество с их стороны! У нас купят декодер, а вы заплатите еще за его услуги.

Только (coronaviryz@gmail.com/korona@bestkoronavirus.com/coronavirus@exploit.im) может расшифровать ваши файлы.

Антивирусные программы могут удалить этот документ и вы не сможете связаться с нами позже.

Попытки самостоятельно расшифровать файлы приведут к потере ваших данных.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: coronaviryz@gmail.com, korona@bestkoronavirus.com

Jabber: coronavirus@exploit.im

BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

7even Security

7even Security Ransomware

Seven Security Ransomware

(zip-вымогатель) (первоисточник)
Translation into English

Этот вымогатель захватывает данные пользователей на сетевых устройствах NAS с помощью технологии zip-архивирования и помещает их в архив с паролем, а затем требует выкуп в 0.01-0.05 BTC, чтобы вернуть файлы. У пострадашего есть только 7 дней на оплату выкупа. Оригинальное название: 7even Security, указано в записке. Группа вымогателей: Team Seven Security. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущие zip-вымогатели и вымогатели для сетевых устройств NAS >> 7even Security

Сайт "ID Ransomware" идентифицирует это как 7even Security. 

Информация для идентификации

Активность этого zip-вымогателя была замечена в середине февраля - начале марта 2022 г., но вымогатели получали выкуп на свой BTC-кошелек уже в январе 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Есть сообщения о пострадавших из Франции, Гонконга и других стран. 

Записка с требованием выкупа называется: Please Read Me !!!.txt

Содержание записки о выкупе:

Hello.

This is 7even Security.

What happened?

- Your Network was not secure.

- Your Network-Attached Storage was compromised.

What does this mean? Where are my files?

- All your data has been encrypted and hidden on a special volume.

- All your important documents have been downloaded.

What can I do to recover my data?

- If you want to recover your data, you have to send 0.04 Bitcoin to this wallet address:

bc1qc56dddrkdm2rxyqw27knjj7rj97kj5sfkgqtpa

- You have until the 12th of March 2022 to send the payment. 

After this date your files will be almost impossible to recover.

What should I do after I send the payment?

- Your ID is: 69.125.***.***

- Please email us your ID and payment confirmation to:

team.seven@zohomail.eu

- After we confirm your payment you will receive detailed instructions on how to decrypt all your data. It does not require any technical skills and it is done fast.

Can I still use my nas?

- Do not delete any files you find on your nas.

- Do not try to recover your data using any software as it will result in permanent data loss.

- Do not modify any volumes or storage pools on your nas.

- Do not write large amounts of data to your disk.

Why have my files been downloaded?

- We reserve the right to leak or sell all your important documents, if no payment is made.

Where can I buy and send bitcoin?

- You can easily buy and send bitcoin from:

https://paxful.com/buy-bitcoin

https://localbitcoins.com/buy_bitcoins

https://www.binance.com/en/buy-Bitcoin

You can think of this as a failed security audit.

We are professionals. This is a one time deal. We will show you proof if you need it.

We will restore your data immediately after the payment.

We will even send you tips on how to strengthen your network security, to prevent any future attacks.

Thank you.

Перевод записки на русский язык:

Привет.

Это 7even Security.

Что случилось?

- Ваша сеть не была защищена.

- Ваше сетевое хранилище скомпрометировано.

Что это значит? Где мои файлы?

- Все ваши данные зашифрованы и спрятаны на специальном томе.

- Все важные документы загружены.

Что я могу сделать, чтобы вернуть мои данные?

- Если вы хотите вернуть свои данные, вы должны отправить 0.04 биткойна на этот адрес кошелька:

bc1qc56dddrkdm2rxyqw27knjj7rj97kj5sfkgqtpa

- У вас есть время до 12 марта 2022 года, чтобы отправить платеж.

После этой даты ваши файлы будет практически невозможно восстановить.

Что мне делать после отправки платежа?

- Ваш ID: 69.125.***.***

- Пожалуйста, отправьте нам свой ID и подтверждение оплаты на адрес:

team.seven@zohomail.eu

- После того, как мы подтвердим ваш платеж, вы получите подробные инструкции как расшифровать все ваши данные. Это не требует каких-либо технических навыков, и это делается быстро.

Могу ли я по-прежнему пользоваться своим NAS?

- Не удаляйте никакие файлы, найденные на вашем NAS.

- Не пытайтесь восстановить данные с помощью каких-то программ, т.к. это приведет к безвозвратной потере данных.

- Не изменяйте тома или пулы хранения на вашем NAS.

- Не записывайте на диск большие объемы данных.

Почему мои файлы были загружены?

- Мы оставляем за собой право выдать или продать все ваши важные документы, если оплата не будет произведена.

Где я могу купить и отправить биткойн?

- Вы можете легко покупать и отправлять биткойны из:

https://paxful.com/buy-биткойн

https://localbitcoins.com/buy_bitcoins

https://www.binance.com/en/buy-Биткойн

Вы можете думать об этом как о неудачном аудите безопасности.

Мы профессионалы. Это разовая сделка. Мы покажем вам доказательства, если вам это нужно.

Мы восстановим ваши данные сразу после оплаты.

Мы даже вышлем вам советы о том, как усилить безопасность вашей сети, чтобы предотвратить любые атаки в будущем.

Спасибо.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию/архивации:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Please Read Me !!!.txt - название файла с требованием выкупа;
<random> - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: team.seven@zohomail.eu
BTC: bc1qc56dddrkdm2rxyqw27knjj7rj97kj5sfkgqtpa

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Unlocker

Unlocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Unlocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине февраля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lock

Фактически используется составное расширение по шаблону: .[<email>].lock

В данном случае полное расширение: .[unlocker@onionmail.org].lock

Записка с требованием выкупа называется: ALL_YOUR_FILES_ARE_ENCRYPTED.TXT

Содержание записки о выкупе:

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.

Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: unlocker@onionmail.org and decrypt one file for free.

But this file should be of not valuable!

Do you really want to restore your files?

Write to email: unlocker@onionmail.org

Reserved email: unlockersuport@msgsafe.io

Telegram: @unlockersuport

Attention!

* Do not rename encrypted files.

* Do not try to decrypt your data using third party software, it may cause permanent data loss.

* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

***

Перевод записки на русский язык:

!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!

Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.

Вы сможете расшифровать его сами! Единственный способ вернуть файлы — приобрести уникальный закрытый ключ.

Только мы можем дать вам этот ключ и только мы можем вернуть ваши файлы.

Чтобы убедиться, что у нас есть расшифровщик и он работает, вы можете отправить письмо на адрес: unlocker@onionmail.org и расшифровать один файл бесплатно.

Но этот файл не должен быть ценным!

Вы правда хотите восстановить файлы?

Пишите на почту: unlocker@onionmail.org

Резервный адрес email: unlockersuport@msgsafe.io

Telegram: @unlockersupport

Внимание!

* Не переименовывайте зашифрованные файлы.

* Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может навсегда испортить данных.

* Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

***

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ALL_YOUR_FILES_ARE_ENCRYPTED.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @unlockersuport

Email: unlocker@onionmail.org, unlockersuport@msgsafe.io
BTC: -  

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 22 марта 2022:

Сообщение >>

Расширение: .lock

Расширение (новый шаблон): .[<email>].[ID].lock
Расширение (пример): .[unlocker@onionmail.org].[5MKlY].lock
Записка: README_WARNING.TXT

Email: unlocker@onionmail.org, unlockersuport@msgsafe.io

Telegram: @unlockersuport

➤ Содержание записки: 

Hey!

Can I recover my files? Sure. We guarantee that you can recover all your files easily and safely! But you have to be fast!. How quickly you pay, how quickly all your data will be returned, as before encryption.

To contact write to the mail: unlocker@onionmail.org

Reserved email: unlockersuport@msgsafe.io

Telegram: @unlockersuport

ATTENTION !!!

Do not rename encrypted files.

Do not try to decrypt your data using third party software - this may result in permanent data loss.

We are always ready to cooperate and find the best way to solve your problem.

The sooner you write, the better the conditions will be for you.

Our company values ​​its reputation. We give all guarantees of decryption of your files.

Your personal ID: *****

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Zeon

Zeon Ransomware

Zeon Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует посетить сайт вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Вымогатели угрожают опубликовать украденные данные на своем сайте. Оригинальное название: Zeon, Zeon strain, Zeon Ransomware. На файле написано: FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe. Написан на языке Python. 

---
Обнаружения:
DrWeb -> Python.Encoder.54
BitDefender -> Trojan.GenericKD.38938300
ESET-NOD32 -> Python/Filecoder.JW
Kaspersky -> Trojan-Ransom.Win32.Agent.baom
Malwarebytes -> Ransom.Zeon
Microsoft -> Trojan:Win32/Tnega!ml
Rising -> while expected
Symantec -> Trojan Horse
Tencent -> while expected
TrendMicro -> Ransom.Win32.ZEON.THBAOBB
---

© Генеалогия: ??? >> Zeon

Сайт "ID Ransomware" идентифицирует это как Zeon. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2022 г. Одно из ранних сообщений появилась в конце января. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .zeon

Записка с требованием выкупа называется: re_ad_me.txt

Содержание записки о выкупе:

All of your files are currently encrypted by ZEON strain. 

As you know (if you don't - just "google it"), all of the data that has been encrypted by our software cannot be recovered by any means without contacting our team directly. 

If you try to use any additional recovery software - the files might be damaged, so if you are willing to try - try it on the data of the lowest value.

To make sure that we REALLY CAN get your data back - we offer you to decrypt 2 random files completely free of charge.

You can contact our team directly for further instructions through our website :

TOR VERSION :

(you should download and install TOR browser first https://torproject.org)

hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/

YOU SHOULD BE AWARE!

Just in case, if you try to ignore us. We've downloaded a pack of your internal data and are ready to publish it on out news website if you do not respond. So it will be better for both sides if you contact us as soon as possible.

---BEGIN ID---

FEVcmTbQIx9X2VMynNFOZ3c***

---END ID---

Перевод записки на русский язык:

Все ваши файлы теперь зашифрованы ZEON штаммом.

Как вы знаете (если нет - просто "погуглите"), все данные, которые были зашифрованы нашей программой, не могут быть восстановлены никакими средствами без прямого обращения к нашей команде.

Если вы попытаетесь использовать какие-либо дополнительные программы для восстановления - файлы могут быть повреждены, поэтому, если вы хотите попробовать - попробуйте его на данных с наименьшим значением.

Чтобы убедиться, что мы ПРАВДА МОЖЕМ вернуть ваши данные - мы предлагаем вам совершенно бесплатно расшифровать 2 случайных файла.

Вы можете связаться с нашей командой напрямую для получения дальнейших инструкций через наш веб-сайт:

ТОР ВЕРСИЯ:

(сначала надо скачать и установить браузер TOR https://torproject.org)

hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/

ВЫ ДОЛЖНЫ ЗНАТЬ!

На всякий случай, если вы попытаетесь нас игнорировать. Мы скачали пакет ваших внутренних данных и готовы опубликовать его на нашем новостном сайте, если вы не ответите. Поэтому для обеих сторон будет лучше, если вы напишите нам поскорее.

***

Скриншоты с сайта вымогателей. На момент написания статьи в чате никому "поддержка" не оказывалась. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
re_ad_me.txt - название файла с требованием выкупа;
FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe - название вредоносного файла; 

Файлы pyd: _Salsa20.pyd, _ec_ws.pyd, _raw_eksblowfish.pyd и другие. 

Файлы dll: python39.dll, libcrypto-1_1.dll, VCRUNTIME140.dll и другие. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 33f612338b6b5e6b4fe8cbb17208795c

SHA-1: 66535700bbce7f90d2add7c504bc0e0523d4d71d

SHA-256: c860bf644bd5e3d6f4cae67848c4fc769184ae652fcb41cac670042b185d217a

Vhash: 076056655d1555604013z3005dmz11fz

Imphash: bdaa4f11fa75ae7944b223ba584c1f57

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.