Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'qcpjvmrnwoy' = '"%APPDATA%\Microsoft\wxoefi.exe"'
- %APPDATA%\microsoft\wxoefi.exe
- <LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\caasbycl\ipv4bot_whatismyipaddress_com[1].htm
- <LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\caasbycl\ipv4bot_whatismyipaddress_com[1].htm
- http://no####ransom.coin/
- DNS ASK ip#####.#hatismyipaddress.com
- DNS ASK dn##.#oprodns.ru
- DNS ASK no####ransom.coin
- DNS ASK no####ransom.bit
- DNS ASK ga###rab.bit
- '%WINDIR%\syswow64\nslookup.exe' nomoreransom.coin dns1.soprodns.ru' (со скрытым окном)
- '%WINDIR%\syswow64\nslookup.exe' nomoreransom.bit dns1.soprodns.ru' (со скрытым окном)
- '%WINDIR%\syswow64\nslookup.exe' gandcrab.bit dns2.soprodns.ru' (со скрытым окном)
- '%WINDIR%\syswow64\nslookup.exe' nomoreransom.coin dns2.soprodns.ru' (со скрытым окном)
- '%WINDIR%\syswow64\nslookup.exe' nomoreransom.bit dns2.soprodns.ru' (со скрытым окном)
- '%WINDIR%\syswow64\nslookup.exe' gandcrab.bit dns1.soprodns.ru' (со скрытым окном)
- '%WINDIR%\syswow64\nslookup.exe' nomoreransom.coin dns1.soprodns.ru
- '%WINDIR%\syswow64\nslookup.exe' nomoreransom.bit dns1.soprodns.ru
- '%WINDIR%\syswow64\nslookup.exe' gandcrab.bit dns2.soprodns.ru
- '%WINDIR%\syswow64\nslookup.exe' nomoreransom.coin dns2.soprodns.ru
- '%WINDIR%\syswow64\nslookup.exe' nomoreransom.bit dns2.soprodns.ru
- '%WINDIR%\syswow64\nslookup.exe' gandcrab.bit dns1.soprodns.ru