EAF

EAF Ransomware

EncoderDecryption Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: encoderdecryption@yandex.ru.exe.
---
Обнаружения:
DrWeb -> Trojan.Siggen17.59421
BitDefender -> IL:Trojan.MSILZilla.2508
ESET-NOD32 -> A Variant Of Generik.GHUBGYD
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Trojan.Agent.Generic
Microsoft -> Ransom:MSIL/Filecoder.PK!MSR
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Msil.Trojan.Delshad.Ecjv
TrendMicro -> Ransom_Filecoder.R002C0DER22
---

© Генеалогия: ✂ Chaos + другой код >> EAF

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине-второй половине мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .EAF

Фактически используется составное расширение по шаблону: [<email>][<ID>]<original_filename>.EAF

Примеры зашифрованных файлов:

[encoderdecryption@yandex.ru][8443A5AF]bootmgr.EAF

[encoderdecryption@yandex.ru][8443A5AF]6DYHaZoX.pdf.EAF

Записка с требованием выкупа называется: #FILES-ENCRYPTED.txt

Содержание записки о выкупе:

ATTENTION!

At the moment, your system is not protected.

We can fix it and restore files.

To get started, send a file to decrypt trial.

Don't pay any money, when we didn't decrypt trial file.

You can trust us after opening the test file.

To restore the system write to this address: 

Email 1: encoderdecryption@yandex.ru

Email 2: encoderdecryption@gmail.com

Перевод записки на русский язык:

ВНИМАНИЕ!

На данный момент ваша система не защищена.

Мы можем исправить это и восстановить файлы.

Для начала отправьте файл на пробную расшифровку.

Не платите деньги, если мы не расшифровали пробный файл.

Вы можете доверять нам после открытия тестового файла.

Для восстановления системы пишите на этот адрес:

Эл. почта 1: encoderdecryption@yandex.ru

Эл. почта 2: encoderdecryption@gmail.com

Файл записки дополняется другим текстовым файлом: This Is Your Helper File.txt

Вероятно, это его содержание: 

At the moment, your system is not protected.

We can fix it and restore files.

To get started, send a file to decrypt trial.

You can trust us after opening the test file.

To restore the system write to this address:

Email 1: dr.help100@mailfence.com

Email 2: decrypterdr@cyberfear.com

Telegram ID: @EAF_SUPPORT_BOT

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Предназначен для ОС Windows 7, 8, 10, 11, Windows Server 2003, 2008, 2012, 2016, 2019, 2022. 

➤ Добавляется в автозагрузку системы. Внедряется в системный процесс. Блокирует диспетчер задач. Изменяет настройки Проводника. Удаляет теневые копии файлов. Отключает некоторые системные службы: контроль учетных записей, резервное копирование, восстановление системы, Windows Defender. Получает права администратора. 

➤ Используется AP Telegram для отправки сообщений. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., в том числе файлы без расширений, например, файл bootmgr. 

В таком случае, после шифрования важных системных файлов ОС Windows может не загрузиться. 

Вероятно пропускаются следующие типы файлов, чтобы избежать шифрования собственных файлов вымогателя. 

.exe

.bat

Файлы, связанные с этим Ransomware:
#FILES-ENCRYPTED.txt - название файла с требованием выкупа, также добавляется в Автозагрузку системы; 

This Is Your Helper File.txt - дополнительный текстовый файл; 

encoderdecryption@yandex.ru.pdb - файл проекта вымогателя; 
encoderdecryption@yandex.ru.exe - название вредоносного файла; 

eaf-info.exe - название дополнительного файла вымогателя; 

cmd-файл;

bat-файлы;

BackupXXXA8C4AD38.exe - некий бэкап-файл; 

8443A5AF.exe

8443A5AF.ico

encoderdecryption@yandex.ru.url - ссылка в Автозагрузке системы на исполняемый вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\1.cmd

C:\Users\Admin\AppData\Local\Temp\2.bat

C:\Users\Admin\AppData\Local\Temp\3.bat

C:\Users\Admin\AppData\Roaming\#FILES-ENCRYPTED.txt

C:\Users\Admin\AppData\Roaming\encoderdecryption@yandex.ru.exe

C:\Windows\A8C4AD38.bat

C:\Windows\8443A5AF.exe

C:\Windows\8443A5AF.ico

C:\Windows\BackupXXXA8C4AD38.exe

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\encoderdecryption@yandex.ru.url

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#FILES-ENCRYPTED.txt

C:\Users\NBC694\source\repos\Fast\Fast\obj\Debug\encoderdecryption@yandex.ru.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: encoderdecryption@yandex.ru, encoderdecryption@gmail.com

Email: dr.help100@mailfence.com, decrypterdr@cyberfear.com

Telegram: @EAF_SUPPORT_BOT

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f477c3bd9d9599a59affb41a8807f8ae

SHA-1: 1fee4f5bda8b765acbb741aeebfe74ea9b0f0f4e

SHA-256: d2c47b1c94e6beadbc222771e788e9dafe194c462760b0d16cd25cbc0a572a00

Vhash: 2160361555131011a221a1044

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

0mega

0mega Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: 0mega. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> 0mega

Сайт "ID Ransomware" идентифицирует это как 0mega. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .0mega


Записка с требованием выкупа называется: DECRYPT-FILES.txt


Содержание записки о выкупе:
***

Перевод записки на русский язык:
***


Скриншоты с сайтов вымогателей:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT-FILES.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: omegalock***.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WsIR

WsIR Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: WsIR1.1(1).exe.

---
Обнаружения:
DrWeb -> Trojan.Encoder.35362
BitDefender -> Gen:Variant.Symmi.97294
ESET-NOD32 -> Win32/Filecoder.OLA
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Kingsoft -> Win32.Troj.Generic.wj.(kcloud)

Lionic -> Trojan.Win32.Kolovorot.lpUa

Malwarebytes -> PUP.Optional.ChinAd
Microsoft -> TrojanDownloader:Win32/Emotet!ml
Rising -> Trojan.Generic@AI.99 (RDML:lW*

Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Syhu
TrendMicro -> TROJ_FRS.0NA103EP22
---

© Генеалогия: ??? >> WsIR

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в середине мая 2022, но дата компиляции — 10 апреля 2022 г.  Ориентирован на китайскоязычных пользователей, ничего неизвестно о  распространении по всему миру. Судя по используемому значку 易 основан на китайском ПО Easy Language Green Edition. 

К зашифрованным файлам добавляется расширение: .WsIR

Файлы могут быть зашифрованы повторно и получить двойное расширение: .WsIR.WsIR

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

现北京时间：2022年5月22日8时21分21秒你是该时间段中的此勒索！

Hello,我的电脑为什么会出现这个？

您现在你的文件都已经被加密了！

为什么会被加密？因为你点开了软件，你无法解密你的文件，除非获得正确秘钥！

如何联系我？

QQ联系：3384356874

QQ邮箱联系：3384356874@qq.com

您需要支付的赎金为下！

请敬情享受吧！

RMB：176

您的Key：

PHAKDILPDFJFPGNKGDHIPPLKJBAFBALMGAFBCHPAPCCOPCNOPNINACJADPFKAGLAOODKPHEHGIBPGCIB

OABNNJCGJJJPGCKLACGLHICBNMANPODPDBMFFKDOFELHOIAEANGAOAEPADODPCFGCDLLDNELAOHFJEID

PDMKAAGNEEKMNNCDIHPMBGNPHAIAFFHPMFADGFEMPGNNOOPHGEPHGGPGDAFANAGGCCNDHGHCOPKCMOFH

PCMCIIAKAHHMIBGMDKAGPLILKPAPKJJCPFLOIPCFPKFELLAKBCGIKFAPENAKIOFHLJJAIHAMKIOMILCD

AGFANKNFFMIPJMOFMKPLELBCOJALHHKIEFPCPNMCGANBLDALGHLLHDJPJBDFGMANKNAEJJHKAPNBFFMA

JLMBJLJPNEAFACOPPIONFJGHGLBDCPHKABCFLJMLDKNDPAHOJNCEONEMPHGLOIFEFJ

↑这个是你唯一的解密秘钥，如果你丢失了，你将永远不能解密你的文件！

如果你强制关机，你将受到严厉的惩罚，您不能使用任何手段关闭本程序！

绿色的是你的重要数据！

Key： ***

Перевод записки на русский язык:

Сегодня 22 мая 2022 года, по пекинскому времени в 8:21:21 вы атакованы ransomware!

Привет, почему это появилось на моем компьютере?

Теперь ваши файлы зашифрованы!

Почему они зашифрованы? Запустив программу, вы не сможете расшифровать файлы, если не получите правильный ключ!

Как связаться со мной?

Контакт QQ: 3384356874

Контакт QQ email: 3384356874@qq.com

Вам нужно заплатить выкуп!

Наслаждайтесь!

176 юаней

Твой ключ: 

***

Это ваш единственный ключ дешифрования, если вы его потеряете, то никогда не сможете расшифровать свои файлы!

Если вы захотите завершите работу, вы будете строго наказаны, и не сможете закрыть эту программу ни в коем случае!

Зеленый код важен для ваших данных!

Ключ: ***

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
WsIR1.1(1).exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\WsIR

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 3384356874@qq.com

QQ: 3384356874
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: c76aecc1eb0b47fc261a80b9fc06fb75

SHA-1: 242f3cce8400a77ed62c99fe6f56e1d8b7cfa5b4

SHA-256: 3bae281a122628561deb145beffcb3b2c1b8ab51e0c96818ef7a1203738af5d4

Vhash: 085046655d555060204005200917z30e5z32z982z120a7z

Imphash: 4ffd26d581651ee9980129d50bc32409

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, Jirehlov Solace
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Crimson Walrus

Crimson Walrus Ransomware

TuskLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей с целью получения выкупа в # BTC, чтобы вернуть файлы. Оригинальное название: Crimson Walrus ransomware, Crimson Walrus 2.0. На файле написано: TuskLocker2.exe. 

---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.FM
Kaspersky -> Trojan-Ransom.Win64.Agent.dow
Malwarebytes -> Ransom.TuskLocker
Microsoft -> Ransom:Win32/Vigorf.A
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> ***
TrendMicro -> Ransom_Agent.R002C0WF422
---

© Генеалогия: ??? >> Crimson Walrus 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в первой половине мая 2022 г., Судя по сайту вымогателей, активность их группы якобы была уже с июня 2021 года. Но по сообщениям исследователей, этот сайт был просто скопирован у группы Babuk Ransomware для имитации собственной атаки. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам может добавляется расширение: .tusk

Записка с требованием выкупа называется: DECRYPT_YOUR_FILES.txt

Содержание записки о выкупе:

I am the walrus. I have taken the liberty of protecting the data on your machine by encrypting it all.

After seeing how easy it was to gain access, I figured you needed the help to make sure no one else comes along and sees something they shouldn't.

However, if you need to access your data then you will have to pay me in order to decrypt it. It's just the cost of being so careless with so much important data.

Just get ahold of me at the page below with your provided UUID for reference and I'm sure we can work something out.

Flag : t4Ke_h3ed_0r_eLs3!

Contact : ncpbxzcgdeprrbba7dgodmymdewy57yokkebuwhmuywiuz5kqjwepbad.onion

Перевод записки на русский язык:

Я морж. Я имел смелость защитить данные на вашем компьютере, зашифровав их все.

Увидев, как легко было получить доступ, я решил, что вам нужна помощь, чтобы убедиться, что никто другой не придет и не увидит то, что не должен.

Однако, если вам нужно получить доступ к вашим данным, вам нужно заплатить мне, чтобы расшифровать их. Это просто цена за небрежность с таким количеством важных данных.

Просто свяжитесь со мной на сайте ниже с вашим полученным UUID для справки, и я уверен, мы сможем что-то придумать.

Флаг: t4Ke_h3ed_0r_eLs3!

Контакт: ncpbxzcgdeprrbba7dgodmymdewy57yokkebuwhmuywiuz5kqjwepbad.onion

Скриншоты с сайта вымогателей

 

 

 

 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Исследователи считают, что эта программа просто часть CTF. Но если вредоносная составляющая будет реализована, то программа-вымогатель может начать распространяться как вредоносная программа, например, путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT_YOUR_FILES.txt - название файла с требованием выкупа;
TuskLocker2.exe - название вредоносного файла;

TuskLocker2.pdb - файл проекта вымогателей$

flag.txt.tusk, flag.txt.key - специальные файлы. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\flag.txt.tusk

C:\flag.txt.key

C:\DECRYPT_YOUR_FILES.txt

C:\Users\Administrator\source\repos\TuskLocker2\x64\Release\TuskLocker2.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: ncpbxzcgdeprrbba7dgodmymdewy57yokkebuwhmuywiuz5kqjwepbad.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6448d2e2242bd108faca7510760ed7b9

SHA-1: 90370a0820644ff403905b930f616c7ca3339ad0

SHA-256: 58e969a3aec430698e3b9fa692edcdbcf9529262f5d298913b19ed9dc73c6aa5

Vhash: 024066651d5515555053z42z16!z

Imphash: 64d6a4dc96a48d52c31164996d8d1793

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

После публикации появилось сообщение, что "это была задача CTF, которая никогда не использовалась реальными злоумышленниками".

Но по нашим правилам, будь то CTF или фейк-шифровальщик, симулятор или обучатель, это как и HiddenTear "обезьяны с гранатой", которые не должны причинять вред, но могут быть использованы потенциальными злоумышленниками для причинения вреда под видом игры или "обучающей" программы. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.