Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'mcxudsptmim' = '"%APPDATA%\Microsoft\ibyglm.exe"'
- %APPDATA%\microsoft\ibyglm.exe
- http://ra###mware.bit/
- DNS ASK ip#####.#hatismyipaddress.com
- DNS ASK ns#.##rp-servers.ru
- '<SYSTEM32>\nslookup.exe' zonealarm.bit ns1.corp-servers.ru' (со скрытым окном)
- '<SYSTEM32>\nslookup.exe' ransomware.bit ns2.corp-servers.ru' (со скрытым окном)
- '<SYSTEM32>\nslookup.exe' zonealarm.bit ns2.corp-servers.ru' (со скрытым окном)
- '<SYSTEM32>\nslookup.exe' ransomware.bit ns1.corp-servers.ru' (со скрытым окном)
- '<SYSTEM32>\nslookup.exe' zonealarm.bit ns1.corp-servers.ru
- '<SYSTEM32>\nslookup.exe' ransomware.bit ns2.corp-servers.ru
- '<SYSTEM32>\nslookup.exe' zonealarm.bit ns2.corp-servers.ru
- '<SYSTEM32>\nslookup.exe' ransomware.bit ns1.corp-servers.ru