Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'ufhbburbysd' = '"%APPDATA%\Microsoft\htdsvr.exe"'
- %APPDATA%\microsoft\htdsvr.exe
- 'ip#####.#hatismyipaddress.com':80
- http://no####ransom.bit/
- DNS ASK ip#####.#hatismyipaddress.com
- DNS ASK dn##.#oprodns.ru
- DNS ASK no####ransom.bit
- DNS ASK em###oft.bit
- '%WINDIR%\syswow64\nslookup.exe' nomoreransom.bit dns1.soprodns.ru' (со скрытым окном)
- '%WINDIR%\syswow64\nslookup.exe' emsisoft.bit dns1.soprodns.ru' (со скрытым окном)
- '%WINDIR%\syswow64\nslookup.exe' gandcrab.bit dns1.soprodns.ru' (со скрытым окном)
- '%WINDIR%\syswow64\nslookup.exe' nomoreransom.bit dns1.soprodns.ru
- '%WINDIR%\syswow64\nslookup.exe' emsisoft.bit dns1.soprodns.ru
- '%WINDIR%\syswow64\nslookup.exe' gandcrab.bit dns1.soprodns.ru