Archive | infosec RSS for this section

IOC_hancitor_250517

Підступний “Google Docs”. Уважно читайте адресу посилання, а не текст на ньому!

Вчора (25го травня) в другій половині дня була зафіксована розсилка Hancitor (Chanitor).
Цей клас шкідливого коду є сервісом доставки троянів або модулів для крадіжки паролів (Pony та ін.)
Вперше його розсилки було зафіксовано в січні 2017.
Ступінь загрози – середній. Вразливосте не використовує. Активація відбувається через запуск макросів.

Зверніть увагу на такі деталі:
– Документ генерується із іменем домену жертви (як і поле теми фішингового листа).
– Після успішного інфікування доставка основних модулів здійснюється із затримкою (30-40 хв).

Схема роботи:
– – – – – – – – – – – – –

email > URL > DOC > macro > URL > EXE > downloader

Маркери (IOC):
– – – – – – – – – – – – –

#1 email

Received: from homewatchohio.com [74.142.241.82]

Заголовки листів містять:
From: “Google Docs” <accountant@%company%.com>
Subject: %домен жертви% has sent you a document through Google Docs!

#2 URL

h11p://freeholdsurg.com/viewdoc/file.php?document={base64string} [46.173.218.143]

Ініші сервери з яких розповсюджується документ з макросами:
h11p://hazletfamilycare.com/viewdoc/file.php?document=
h11p://freeholdretractor.com/viewdoc/file.php?document=
h11p://freeholdsurgical.info/viewdoc/file.php?document=
h11p://homesmartfinancial.com/viewdoc/file.php?document=
h11p://freeholdsurg.com/viewdoc/file.php?document=
h11p://execps.com/viewdoc/file.php?document=
h11p://bioremediation-products.com/viewdoc/file.php?document=
h11p://strategic-ls.net/viewdoc/file.php?document=
h11p://cindysgraphicdesigns.com/viewdoc/file.php?document=

#3 DOC із макросом

Документи мають назву по шаблону:

Billing_%домен жертви%.doc

File Name Billing_noname.com.doc
MD5 Hash Identifier 89CEA54551FBF7C71058A7DE6322934D
SHA-1 Hash Identifier 2BF315F4FCB4A36924E64E4AD2F5A6BA8D07C06D
SHA-256 Hash Identifier 0CF705E4804F3585E44368E8D611DDB9376863FF8C4400D156D043F6B181924E
File Size 206336 bytes
File Type Composite Document File V2 Document, Microsoft Office Word

Макрос при активації відкриває з’єднання із такими серверами:

212.129.51.160
h11p://API.IPIFY.ORG – перевірка зовнішнього IP
h11p://FORDEBUBUT.COM [212.129.51.160] – завантаження EXE
h11p://GREGORYRULLO.COM – зламані сайти із скриптами
h11p://REWNINGIDEN.COM [185.118.66.252] – 2C
h11p://WWW.HOMESDECORATINGIDEAS.COM – зламані сайти із скриптами

#4 EXE

File Name BND2B1.tmp
MD5 Hash Identifier AF7078278C943D35BD910989865857E5
SHA-1 Hash Identifier BD60C974AB62E65D98DD322A461F0DCBBB0A30AB
SHA-256 Hash Identifier ACEBA8DB5676FD88C2EE3C63D99A6EF1A1B54D740AC25C2E6F4195EF08DB0CC6
File Size 193536 bytes

Після запуску відкриває з’єднання із :

REWNINGIDEN.COM [185.118.66.252]

#5 Мережевий трафік із скомпрометованої системи

h11p://fordebubut.com 212.129.51.160
h11p://gregoryrullo.com 50.62.110.1
h11p://homesdecoratingideas.com 192.196.156.150
h11p://rewningiden.com 185.118.66.252
h11p://kedrolhechedt.com 92.242.40.92
h11p://dijussoda.com 185.66.9.164
h11p://api.ipify.org 54.225.154.40, 54.243.147.114, 107.21.113.24, 23.23.102.58, 23.23.120.37, 50.19.238.1

# # #

Рекомендації:
– – – – – – – – – – – – –

1) Перевірка спроб з’єднань із такими ресурсами та внесення їх у чорний список:

  • h11p://FREEHOLDSURG.COM [46.173.218.143]
  • h11p://FORDEBUBUT.COM [212.129.51.160]
  • h11p://REWNINGIDEN.COM [185.118.66.252]

2) Відключення макросів у пакеті MS Office через GPO

3) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.

4) Заборона створення та запуску нових .tmp та .exe файлів у каталозі %AppData%

5) Співбесіди на тему фішингу, соц інженерії

6) Застосування “пісочниці”

7) Перевірити налаштування GTI на кінцевих точках, т.к. основне тіло детектується антивірусом (див. KB53733)

Будьте уважні та обережні.

VR

IOC_jaff_ransom_230517

Увага!

Сьогодні була зафіксована чергова спроба доставки jaff ransomware.

Схема роботи:
– – – – – – – – – – – – –
email > PDF > DOCM > macro > URL > EXE > jaff ransomware

Маркери (IOC):
– – – – – – – – – – – – –

#1 email

Received: from dsl-197-245-51-176.voxdsl.co.za [197.245.51.176]

#2 dropper_stage1

File Name 40-6347.pdf
MD5 Hash Identifier 3F07EE18D6A3DBF1E2AA01D4920A9CAC
SHA-1 Hash Identifier 13B72BEE0E1B68C45FDF8CF957C947223D5F49C9
SHA-256 Hash Identifier 508608F460AA9AF69A3D2DDFFBFF27E6BB4E3B5D520DDD42DD5748FEB0FB8693
File Size 62186 bytes
File Type application/pdf

#3 dropper_stage2

File Name OTRTRZH.docm
MD5 Hash Identifier F40273EDADF7D675F7B61F57B1E3305F
SHA-1 Hash Identifier C22AF9C7AA87E1550B36D9E49D37C2FB08666B99
SHA-256 Hash Identifier ED57709D1335DFCBF79EEA28ABA4BFB518303EB2F19EDC8DFC687C9FE68362E3
File Size 125044 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

відкриває з’єднання із:
khaosoklake.com 77.104.168.120 (Bulgaria)

завантажує сам додаток шифрування
KHAOSOKLAKE.COM/FGJDS2U

#4 payload

File Name levinsky8.exe
MD5 Hash Identifier 56185D85038547EC352A0F39396A37A7
SHA-1 Hash Identifier 0E2EBCBF00D0BB4F5CFE8470AB48FECD1EB4D5AB
SHA-256 Hash Identifier 76A14A40ECBB740EC6158D1969EDC71C33505D763E7AE0037574C6AB4733AF93
File Size 233472 bytes

відкриває з’єднання із:
maximusstafastoriesticks.info 185.109.147.122 (Netherlands)

#

Рекомендації:
– – – – – – – – – – – – –

1) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.
2) Заборона створення та запуску нових .exe файлів у каталозі %AppData%
3) Застосування пісочниці
4) Співбесіди на тему фішингу, соц інженерії
5) Відключити макроси в MS Office; відключити скрипти і активацію зовн. контенту у PDF

Будьте уважні та обережні.

VR

Jaff – черговий зразок ransomware

від авторів Dridex, Locky, та Bart

 

Візьміть до уваги!

Вчора (22/05/17) відбулася чергова хвиля розсилки нового зразка ransomware – Jaff.
Вперше потрапив мені до рук 16/05/17. Маркери за 16те – в кінці допису.

Схема:
– – – – – – – – – – – – –

email > PDF > DOCM > MACRO > URL > EXE

Маркери (IOC):
– – – – – – – – – – – – –

#1 email
Received: from localhost (unknown [113.174.48.107])
From: KAITLIN KITCHEN <NoReply@pixelstudio.us>
– орендувався на період розсилки, зараз недоступний

приклад іншого листа:

#2 dropper PDF із вбудованим DOCM

File Name 51531390.PDF
MD5 Hash Identifier F2EC18D7F65D3186E2659CA978B10092
SHA-1 Hash Identifier 25B42C3BA79F062BD38CA88D6B7DCE9D685B77FD
SHA-256 Hash Identifier E1AAB160D59B83A9B62DC2609C2D55B7F07387F4B84041C18EFE068E05F9B9DD
File Size 71889 bytes
File Type application/pdf

дропає

File Name WBLYJOFBR.docm
MD5 Hash Identifier 27CC30FEDE5CF8F390DAE94994BC6CB3
SHA-1 Hash Identifier C471B5A28F6A1EB4EFB31325465A0DA835F008C8
SHA-256 Hash Identifier E8B41678E081C8CC3ADA1F17979B27EFDDAA398E5D397A324AC0EEDF9D36ED94
File Size 126784 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

активація макросів призводить до з’єднання із

EVERSTRUCT.COM.AU [27.123.25.1]
EVERSTRUCT.COM.AU/JHG6FGH

#

друга версія

#
File Name 52040596.PDF
MD5 Hash Identifier FA17464BF1059702190F56E4B898E144
SHA-1 Hash Identifier 821E0DCC7C3F3BF123480ED20941C04120B65410
SHA-256 Hash Identifier 2ECE54ED150732B33EDCAF758F55D73ECC945C926E9E7A331A650409C932056A
File Size 72014 bytes
File Type application/pdf

дропає

File Name GZYKRWCRX.docm
MD5 Hash Identifier 3FEC158A028DA38BA1952A591EC78C52
SHA-1 Hash Identifier 4993CF0B5B30D5C8D2457DFB1EA90CD210370BF0
SHA-256 Hash Identifier 9011B9BC346F5B3615EF8E2B92381B0130738F0093FC4489DBF20C11794CD834
File Size 126720 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

активація макросів призводить до з’єднання із

THEGARDINERS.CA [69.90.160.230]
THEGARDINERS.CA/JHG6FGH

#3 payload – один і той же для обох PDF`ок

File Name buzinat8.exe
MD5 Hash Identifier 132D56F533F3A074B441CEBFF98E7742
SHA-1 Hash Identifier CE62251F9C7B0DE95CE324EFEC94FB703776F4BA
SHA-256 Hash Identifier 3105BF7916AB2E8BDF32F9A4F798C358B4D18DA11BCC16F8F063C4B9C200F8B4
File Size 184320 bytes

Після шифрування ініціює з’єднання із

trollitrancessions.net [217.29.63.199] (!) Russian Federation

#

Рекомендації:
– – – – – – – – – – – – –

1) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.
2) Заборона створення та запуску нових .exe файлів
3) Застосування пісочниці
4) Співбесіди на тему фішингу, соц інженерії
5) Відключити макроси в MS Office; відключити скрипти і активацію зовн. контенту у PDF

Будьте уважні та обережні.

PS


Маркери (IOC) за 15/05/17:
– – – – – – – – – – – – –

Жертві приходить не персоніфікований фішинг із PDF файлом у приєднанні

File Name 001_3116.pdf
MD5 Hash Identifier 1E5488E7E382F4EF0DB3ED0DF8D5DBDF
SHA-1 Hash Identifier F6D625BA4A79C2944CDEBCEB52A834C97C6F958E
SHA-256 Hash Identifier 0DBFF8F2C4E689328F5F4E6D0416A21CD09FA903ADD3E1DC1751CAA982CB44B1
File Size 53645 bytes
File Type application/pdf

pdf  в собі містить DOCM із макросом, який при активації записується у %temp%\*\

File Name QCS3ZYS.docm
MD5 Hash Identifier 6D6761D6F3E3E812D9E814942D3DDB78
SHA-1 Hash Identifier DB8CB21367A3B332452469DD1E8508288EA80BA0
SHA-256 Hash Identifier 3565F05B3541E5839C9744388C24C34D42B592A74F2F9F2129DBB8FCBE82165F
File Size 55497 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

Макрос у DOCM ініціює з’єднання на h11p://dcfarbicka.sk/hhgfjd [5.10.105.54] і завантажує основне payload

File Name drefudre20.exe
MD5 Hash Identifier F5EBB00E1FB9BBCFE5AE742082E2002F
SHA-1 Hash Identifier 83EDEE74728AA231CB77D62A442FA560C64ECDEE
SHA-256 Hash Identifier 41BCE3E382CEE06AA65FBEE15FD38F7187FB090D5DA78D868F57C84197689287
File Size 176128 bytes

Який у свою чергу перед шифруванням з’єднується із 2С h11p:// h552terriddows.com [47.91.107.213]

На момент аналізу обидві частини як dropper так і payload уже детектувалися VSE по GTI.

Будьте уважні та обережні.

VR

IOC_java_bkdr_220517

 

Візьміть до уваги!

Вчора (22го травня) була зафіксована розсилка вірусного коду у вигляді java додатку.
Це різновид Adwind – багатокомпонентний backdoor на java.
Я такий раніше вже аналізував – ось запис https://radetskiy.wordpress.com/2016/06/09/jar_backdoor/

Небезпека полягає в наступному:

Цей зразок шкідливого коду не створює і не завантажує нові .exe файли.
Він працює через довірені процеси Java інтерпритатора.
Від так при поверхневому аналізі системи його завантаження матиме дійсний цифровій підпис процесу Java RE.

Маркери (IOC):
– – – – – – – – – – – – –

#1 email Received: from VPS2DAY-3P5MJ0J.vps2day.com (unknown [37.10.71.236])
– орендувався на період розсилки, зараз недоступний

#2 dropper документ MS Word
File Name Compliance_file_0002.doc
MD5 Hash Identifier 7B1012F6F04D3202F272DD6CF107C998
SHA-1 Hash Identifier 42B012F62A589F3D28103DDA7B9E9C9BF453735D
SHA-256 Hash Identifier 9F083BAD91B524FABF90B1D96B11DC20A66A1DEBE172827220B658B358FC5476
File Size 603503 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

після активації видобуває із себе .jar модуль і закріплюється в системі через автозавантаження:

c:\program files\java\jre7\bin\javaw.exe
“c:\program files\java\jre7\bin\javaw.exe” -jar “c:\users\admini~1\appdata\local\temp\sund265.jar

Registry Modified Key NewValue Type
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\bHsjjcvqZYM
“C:\Users\Administrator\AppData\Roaming\Oracle\bin\javaw.exe
-jar “C:\Users\Administrator\bESDTWqKmAn\AslueHMJTIP.PVJdkt” REG_EXPAND_SZ

#3 payload Jar файл, який виконується JRE

File Name SunD265.jar
MD5 Hash Identifier 48B3A3E436D98B660B6455CA01FCFAAF
SHA-1 Hash Identifier 271D72F4E0E7759A44C488417A110F05D494C60C
SHA-256 Hash Identifier F83201512E3433DABDC6E70AF6E2BD52B9F90A68C1AD022E6E5D89312DC7CD66
File Size 605894 bytes
File Type application/x-java-archive; charset=binary

запуск компонентів:

“c:\program files\java\jre7\bin\java.exe”
-jar c:\users\admini~1\appdata\local\temp\_0.60815154253218772229614256043455032.class
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive1490150423318292422.vbs
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive7919106372540064215.vbs
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive8237390097791835769.vbs
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive8949023460065588193.vbs
“xcopy” “c:\program files\java\jre7” “c:\users\administrator\appdata\roaming\oracle\” /e

відкриває з’єднання із серверами:
137.74.103.16:9090″
80.231.241.66:80″

#4 dll
File Name Windows7111878064044653248.dll
MD5 Hash Identifier 0B7B52302C8C5DF59D960DD97E3ABDAF
SHA-1 Hash Identifier D85524F464DCDED54EDFCFE6A5056F6C4008BBCB
SHA-256 Hash Identifier A6BE5BE2D16A24430C795FAA7AB7CC7826ED24D6D4BC74AD33DA5C2ED0C793D0
File Size 46592 bytes

Obtained the identifier of the thread or process that created the specified window
Obtained the priority value for a thread
Set the priority value for a thread

#5 vbs Retrive6039876219097447900.vbs, Retrive867820139510199033.vbs, Retrive867820139510199033.vbs

File Name Retrive6039876219097447900.vbs
MD5 Hash Identifier 3BDFD33017806B85949B6FAA7D4B98E4
SHA-1 Hash Identifier F92844FEE69EF98DB6E68931ADFAA9A0A0F8CE66
SHA-256 Hash Identifier 9DA575DD2D5B7C1E9BAB8B51A16CDE457B3371C6DCDB0537356CF1497FA868F6
File Size 276 bytes
File Type ASCII text

File Name Retrive4324072840813515187.vbs
MD5 Hash Identifier A32C109297ED1CA155598CD295C26611
SHA-1 Hash Identifier DC4A1FDBAAD15DDD6FE22D3907C6B03727B71510
SHA-256 Hash Identifier 45BFE34AA3EF932F75101246EB53D032F5E7CF6D1F5B4E495334955A255F32E7
File Size 281 bytes
File Type ASCII text

File Name Retrive867820139510199033.vbs
MD5 Hash Identifier A32C109297ED1CA155598CD295C26611
SHA-1 Hash Identifier DC4A1FDBAAD15DDD6FE22D3907C6B03727B71510
SHA-256 Hash Identifier 45BFE34AA3EF932F75101246EB53D032F5E7CF6D1F5B4E495334955A255F32E7
File Size 281 bytes
File Type ASCII text

Загалом:
– – – – – – –

1) Активація і закріплення в системі без створення нових .exe
2) Ініціює з’єднання із 2С
3) збирає інформацію про систему – наявність 0409 локалі (US), ім’я машини, антиВМ, дата і часовий пояс системи, збір інфи про АВ та брандмауєр,
4) Очікує команди із 2С

Рекомендації:
– – – – – – –
1) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.
2) Заборона створення та запуску нових .jar та .vbs файлів
3) Застосування пісочниці
4) Співбесіди на тему фішингу, соц інженерії
5) Системи без JRE не вразливі до цього типу ШПЗ

Будьте уважні та обережні.

VR

WanaKiwi_ шанс декрипту після WannaCry

Дослідники знайшли спосіб витягнути закритий ключ WannaCry з оперативної пам’яті інфікованого хоста.

Шанс відновлення і розшифровки – 50/50.

 

 

Головне – не перезавантажуйте/не вимикайте пошифровану систему.
Процес wannacry повинен бути завантажений в пам’яті.
Утиліта запускається на Windows 7 і вище. На вхід приймає PID процесу wannacy.

  1. Завантажте утиліту
  2. Розпакувйте у каталог де міститься відкритий ключ WannaCry (.pky)
  3. Запустіть cmd від Адміна і перейдіть у каталог із wanakiwi
  4. wanakiwi.exe XXX , де XXX – PID wannacry

https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d

PS

У мене на тестовому стенді не спрацювало. Але це не означає що не варто спробувати.

Будьте уважні та обережні.

VR

simple_phishing

Типовий приклад збирання паролів. Зовсім прямолінійний.

У приєднанні HTML який при відкритті генерує таку сторінку

File Name LETTER_HEADED_INSTRUCTION.html
MD5 Hash Identifier 532B73C453894612611E4992FDA572C3
SHA-1 Hash Identifier 1A2983E55A412060923A007254B8365B28B2C9B3
SHA-256 Hash Identifier 1B369DF9EA0F75B5D40AA60C649F12D174E28F1177A473775D2D5454E4CA131C
File Size 6898 bytes
File Type HTML document

Якщо жертва настільки необачна щоб ввести свої данні – вони передаються на 108.170.51.58

Будьте уважні та обережні.

VR

IOC_xdata_190517

Увага! Нова хвиля ransomware .~xdata~

Пост буду оновлювати по ходу аналізу.

update 22/05/17 17:40

Підтверджена причетність другого зразка. Доданий його аналіз.

Вдалося встановити взаємозв’язок зразків:

BDD2ECF290406B8A09EB01016C7658A283C407C3 використовується для активації та розповсюдження по мережі

9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9 безпосередньо шифрує

Замовники, котрі використовують актуальні DAT файли захищені:

Демонстрація роботи xdata

Увага!

Станом на 22/05 люди які використовують ці АВ перебувають у групі ризику:

File Name xdata2.exe
MD5 Hash Identifier C6A2FB56239614924E2AB3341B1FBBA5
SHA-1 Hash Identifier BDD2ECF290406B8A09EB01016C7658A283C407C3
SHA-256 Hash Identifier 92AD1B7965D65BFEF751CF6E4E8AD4837699165626E25131409D4134F031A497
File Size 944128 bytes

File Name msaddc.exe
MD5 Hash Identifier A0A7022CAA8BD8761D6722FE3172C0AF
SHA-1 Hash Identifier 9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9
SHA-256 Hash Identifier D174F0C6DED55EB315320750AAA3152FC241ACBFAEF662BF691FFD0080327AB9
File Size 68608 bytes

update 19/05/17 18:00

як і WannaCry для розповсюдження використовує вразливість SMB
після локального шифрування здійснює спроби конектитись на 139 ТСР підмережі

З учорашнього дня зросла активність ransomware.
За даними @malwrhunterteam кількість запитів по цьому зразку перевищила wannacry
Статистика по одному із семплів – 22 аплоади, 16 унікальних

Попередньо – точка входу фішинг. Приєднання або лінк.

IOC відомі на 22/05/17 :
– – – – – – – – – – – – – – – – – – – – –

PAYLOAD _ частина яка безпосередньо виконує шифрування

File Name 2.exe
MD5 Hash Identifier c6a2fb56239614924e2ab3341b1fbba5
SHA-1 Hash Identifier bdd2ecf290406b8a09eb01016c7658a283c407c3
SHA-256 Hash Identifier 92ad1b7965d65bfef751cf6e4e8ad4837699165626e25131409d4134f031a497
File Size 944128 bytes

File Name msdcom.exe
MD5 Hash Identifier A0A7022CAA8BD8761D6722FE3172C0AF
SHA-1 Hash Identifier 9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9
SHA-256 Hash Identifier D174F0C6DED55EB315320750AAA3152FC241ACBFAEF662BF691FFD0080327AB9
File Size 68608 bytes

“c:\users\admini~1\appdata\local\temp\d78.tmp.bat”

Зміст файлу D78.tmp.bat

@echo off
timeout /T 10
FOR /F “tokens=1,2*” %%V IN (‘bcdedit’) DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F “tokens=*” %%G in (‘wevtutil.exe el’) DO (call :do_clear “%%G”)
echo.
echo Event Logs have been cleared!
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1

goto :eof
:noAdmin
echo You must run this script as an Administrator!
echo.
:theEnd
rd /s /q %systemdrive%\$RECYCLE.BIN
del %0

Після шифрування семпл залишає такий запис:

Your IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc.

Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.

To retrieve the private key and tool find your pc key file with ‘.key.~xdata~’ extension.
Depending on your operation system version and personal settings, you can find it in:
‘C:/’,
‘C:/ProgramData’,
‘C:/Documents and Settings/All Users/Application Data’,
‘Your Desktop’
folders (eg. ‘C:/PC-TTT54M#45CD.key.~xdata~’).

Then send it to one of following email addresses:

begins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com

Your ID: xxxx-PC#xxxxxx967E0B769FFAB70F843Axxxxxx

Do not worry if you did not find key file, anyway contact for support.

PS

додаткова інформація з інших джерел

https://www.bleepingcomputer.com/news/security/xdata-ransomware-on-a-rampage-in-ukraine/

Будьте уважні та обережні

VR