Mirrors/reversinglabs-reversinglabs-yara-rules
1
0
Fork 0
mirror of https://github.com/reversinglabs/reversinglabs-yara-rules synced 2026-06-08 09:55:11 +00:00
Code Issues Packages Projects Releases Wiki Activity

Added new YARA rules.

Browse Source
This commit is contained in:
Software Developer
2025-06-10 11:00:01 +02:00
parent d8f40bbab4
commit e3267cfb8a
2 changed files with 656 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
yara/infostealer/Win64.Infostealer.Skuld.yara
+192
View File
@@ -0,0 +1,192 @@
rule Win64_Infostealer_Skuld : tc_detection malicious
{
meta:
author = "ReversingLabs"
source = "ReversingLabs"
status = "RELEASED"
sharing = "TLP:WHITE"
category = "MALWARE"
malware = "SKULD"
description = "Yara rule that detects Skuld infostealer."
tc_detection_type = "Infostealer"
tc_detection_name = "Skuld"
tc_detection_factor = 5
strings:
$get_mac_address = {
4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ?? ?? E8 ??
?? ?? ?? 90 48 85 FF 75 ?? EB ?? 31 C0 31 DB 48 89 F9 48 89 F7 48 81 C4 ?? ?? ?? ??
5D C3 48 83 C0 ?? 48 FF CB 48 85 DB 0F 8E ?? ?? ?? ?? 0F 10 00 0F 11 44 24 ?? 0F 10
40 ?? 0F 11 44 24 ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ??
?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 0F BA E2 ?? 90 73 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74
?? 31 C9 EB ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 DB
31 C9 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 89 C1 48 8B 84 24 ?? ?? ?? ?? 83 F1 ?? EB ?? 31
C9 84 C9 0F 84 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 85 D2 74 ?? 48 89 54 24 ?? 48
8D 0C 52 48 8D 49 ?? 48 89 4C 24 ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ??
48 8D 05 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 74 24 ?? 48
8B 7C 24 ?? 31 C9 31 DB EB ?? 31 C0 31 C9 EB ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ??
31 C9 31 FF 48 89 FE 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 31 C0 31 DB 48
81 C4 ?? ?? ?? ?? 5D C3 48 89 C3 31 FF 48 89 C8 31 C9 48 81 C4 ?? ?? ?? ?? 5D C3 44
88 44 03 ?? 48 FF C1
}
$find_files_p1 = {
4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
?? 48 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C
24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84
24 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48
8B 4C 24 ?? 48 FF C1 48 8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ??
?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 53 ?? 48 89 94 24 ?? ?? ?? ?? 4C 8B
00 4C 89 44 24 ?? 4C 8B 48 ?? 4C 89 8C 24 ?? ?? ?? ?? 48 39 D1 75 ?? 31 C0 48 8B 9C
24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
?? ?? 66 90 EB ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ??
?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8B
4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9
48 8B 94 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 0F 45 D3 48 89 54 24 ?? 48 8B 9C 24 ?? ??
?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 0F 45 DF 48 89 9C 24 ?? ?? ?? ?? 84 C0 0F 84 ?? ??
?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ??
?? 48 89 9C 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48
8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24
?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ??
E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24
}
$find_files_p2 = {
41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B
94 24 ?? ?? ?? ?? 48 39 D1 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24
?? ?? ?? ?? FF D1 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24
?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ??
48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ??
?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ??
?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48
8B B4 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24
?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 11 90 66 90 48 85 D2 74 ?? 48 39 D1
74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49
89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41 ?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C
89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89
DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49
89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89
}
$find_files_p3 = {
8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8
?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24
?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8
?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9
?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 44 0F 11 BC 24
?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84
24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89
84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ??
?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ??
?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48 8B B4 24 ?? ?? ?? ?? 41 B8 ?? ??
?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ??
?? ?? ?? 48 8B 11 90 48 85 D2 74 ?? 48 39 D1 74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49 89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41
?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48
89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89 DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ??
?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49 89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ??
48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ??
?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48
}
$find_files_p4 = {
8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ??
?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49
89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ??
48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B
4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 48 89 44 24 ?? 44 0F 11 BC 24 ??
?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B
84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89
84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 54 24 ?? 0F
57 C0 F2 48 0F 2A C2 F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 66 48 0F 7E C0 0F 1F 40 ??
E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ??
41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ??
?? E9 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 41 ?? 48 89 C2 48 F7 DA 48 8B 59 ??
90 48 39 D3 77 ?? 48 81 FB ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 0F 4F D9 48 8D 0D ?? ?? ??
?? 48 0F 4F C1 48 81 C4 ?? ?? ?? ?? 5D C3
}
$take_screenshot_p1 = {
4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
?? 0F 1F 00 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? B8 ?? ?? ?? ?? E8
?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48
89 8C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C 24 ??
?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8
?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? B9 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8D BC
24 ?? ?? ?? ?? 48 8D 7F ?? 66 0F 1F 84 00 ?? ?? 00 00 66 0F 1F 44 00 ?? 48 89 6C 24
?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05
?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ??
?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ?? ??
?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 8C 24 ?? ??
?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ??
?? ?? E8 ?? ?? ?? ?? C6 00 ?? 48 8B 8C 24 ?? ?? ?? ?? 84 01 83 3D ?? ?? ?? ?? ?? 75
?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 49 89 03 48 8B 91 ?? ?? ?? ?? 49 89 53 ?? 48
}
$take_screenshot_p2 = {
8B 54 24 ?? 49 89 53 ?? 48 8B 59 ?? 49 89 5B ?? 48 89 81 ?? ?? ?? ?? 48 8B 5C 24 ??
48 89 59 ?? 48 89 51 ?? 48 89 C8 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? E8 ??
?? ?? ?? 0F 1F 44 00 ?? 48 85 FF 75 ?? 31 C9 31 D2 31 F6 EB ?? 31 C0 31 DB 48 89 D9
48 81 C4 ?? ?? ?? ?? 5D C3 48 89 04 3E 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B 5C
24 ?? 48 FF CB 48 89 D7 48 89 F2 48 89 FE 66 90 48 85 DB 0F 8E ?? ?? ?? ?? 48 89 5C
24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 08 48 8B
50 ?? 48 8D 5E ?? 48 89 5C 24 ?? 48 8B 49 ?? 48 89 D0 FF D1 44 0F 11 BC 24 ?? ?? ??
?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ??
48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24
?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48
39 D1 72 ?? 48 8B B4 24 ?? ?? ?? ?? EB ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 84 24
?? ?? ?? ?? 48 89 D3 BF ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C6 48
89 DA 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8D 7A ?? 48 C1 E7 ?? 48 89 5C 3E ?? 83 3D ??
?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 89 03 4C 8B 04 3E 4D 89 43 ?? E9 ??
?? ?? ?? 48 89 D0 48 89 F3 48 81 C4 ?? ?? ?? ?? 5D C3
}
$get_discord_backup_codes = {
48 89 44 24 ?? 48 8D 1D ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4
24 ?? ?? ?? ?? 49 89 D8 49 89 C9 31 C0 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ??
48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ??
?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 66 90 75 ?? 48 8B 54 24 ?? EB
?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 8B 58 ?? 49 89 5B ?? 48 89 50 ?? E8 ??
?? ?? ?? 48 89 44 24 ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ??
?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 74 ?? 48 8B
50 ?? 66 90 E8 ?? ?? ?? ?? 49 89 13 48 8D 15 ?? ?? ?? ?? 48 89 50 ?? 31 C0 48 8D 1D
?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 74 24 ?? 49 89 D8 49 89 C9 E8 ?? ??
?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ??
?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ?? ?? ??
?? ?? 75 ?? 48 8B 4C 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 49 89 0B 48 8B 50 ??
49 89 53 ?? 48 89 48 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75
?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 89 10 BB ?? ?? ??
?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ??
?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ??
?? ?? ?? ?? 75 ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 4C 8B
48 ?? 4D 89 4B ?? 48 89 50 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ?? 31 FF 31
F6 49 89 F0 E8 ?? ?? ?? ?? 31 C0 31 DB 48 83 C4 ?? 5D C3
}
condition:
uint16(0) == 0x5A4D and
(
$get_mac_address
) and
(
all of ($find_files_p*)
) and
(
all of ($take_screenshot_p*)
) and
(
$get_discord_backup_codes
)
}
yara/ransomware/Win32.Ransomware.VanHelsing.yara
+464
View File
@@ -0,0 +1,464 @@
rule Win32_Ransomware_VanHelsing : tc_detection malicious
{
meta:
author = "ReversingLabs"
source = "ReversingLabs"
status = "RELEASED"
sharing = "TLP:WHITE"
category = "MALWARE"
malware = "VANHELSING"
description = "Yara rule that detects VanHelsing ransomware."
tc_detection_type = "Ransomware"
tc_detection_name = "VanHelsing"
tc_detection_factor = 5
strings:
$find_files_v1_p1 = {
55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ??
8B 45 ?? 8B 5D ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 53 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
68 ?? ?? ?? ?? 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D
85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ??
?? 50 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B
3D ?? ?? ?? ?? 0F 1F 00 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ??
?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? F7 85 ?? ??
?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ?? 68 ??
?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? BE ?? ??
?? ?? 66 0F 1F 44 00 ?? FF 36 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 85 ?? ?? ?? ?? 83
C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ??
?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85
}
$find_files_v1_p2 = {
68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ??
?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CB E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ??
?? BE ?? ?? ?? ?? 66 0F 1F 44 00 ?? FF 36 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 85 ??
?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ??
68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ??
?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 89 9D ?? ?? ??
?? 89 9D ?? ?? ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 0F 57 C0 83 C4
?? 66 0F D6 06 C7 46 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ??
83 C4 ?? 89 06 8B 85 ?? ?? ?? ?? 89 46 ?? C7 46 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5
?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B CE 85 C0 75 ?? E8 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ??
?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 53 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 9D ??
?? ?? ?? 83 C4 ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ??
?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89
0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
}
$network_enumeration_v1_p1 = {
55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
?? ?? 53 56 57 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50
E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 83 3A ?? 0F 8E ??
?? ?? ?? 33 DB 89 5C 24 ?? 0F 1F 00 8D 42 ?? 03 C3 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89 44 24 ?? 83 C4 ?? 89 5C 24 ?? 8D 72 ?? 03
F0 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D
84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 6A ?? 50 6A
?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ??
?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ??
?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 44
24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 8D 44 24 ?? 50 6A ?? 8D 44
24 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33
FF 39 7C 24 ?? 76 ?? 33 F6 8B 44 24 ?? 83 7C 06 ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 34 06
E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 44 24 ?? FF 34 06 8D 44 24 ?? 50 8D 84 24 ??
?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24
}
$network_enumeration_v1_p2 = {
68 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72
?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ??
?? 8B 5C 24 ?? 8B 44 24 ?? 05 ?? ?? ?? ?? 83 EB ?? 89 44 24 ?? 89 5C 24 ?? 0F 85 ??
?? ?? ?? 8B 74 24 ?? 8B 5C 24 ?? 46 81 C3 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 3B 32
0F 8C ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 3A ?? C7 44 24 ?? ?? ??
?? ?? 0F 8E ?? ?? ?? ?? 33 DB 89 5C 24 ?? 66 0F 1F 44 00 ?? 8D 42 ?? 03 C3 50 68 ??
?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89 44 24 ?? 83 C4 ??
89 5C 24 ?? 8D 72 ?? 03 F0 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ??
?? 56 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
8D 44 24 ?? 6A ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85
C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ??
?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 8D
}
$network_enumeration_v1_p3 = {
44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB
?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 FF 39 7C 24 ?? 76 ?? 33 F6 0F 1F 84 00 ?? ?? ?? ??
8B 44 24 ?? 83 7C 06 ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 34 06 E8 ?? ?? ?? ?? 83 C4 ?? 85
C0 75 ?? 8B 44 24 ?? FF 34 06 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 50 8D 84 24
?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72 ?? FF 74 24 ?? FF 15 ?? ??
?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 5C 24 ?? 8B 44 24 ??
05 ?? ?? ?? ?? 83 EB ?? 89 44 24 ?? 89 5C 24 ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 8B 5C
24 ?? 46 81 C3 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 3B 32 0F 8C ?? ?? ?? ?? 68 ?? ??
?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 33
C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
}
$delete_shadow_copies_v1_p1 = {
55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 6A ?? 6A ?? FF 15
?? ?? ?? ?? 85 C0 79 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B
4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 79 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF
15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8D 85 ?? ??
?? ?? 50 FF 15 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ??
?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A
?? 68 ?? ?? ?? ?? FF D7 85 C0 78 ?? 68 ?? ?? ?? ?? FF D3 8B F0 8D 85 ?? ?? ?? ?? 50
FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ??
?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 11 56 51 FF 52 ?? 8B F0 8D 85 ?? ??
?? ?? 50 FF 15 ?? ?? ?? ?? 85 F6 0F 88 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D7 85 C0 79 ?? 50 68
?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D3 8B 8D
?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 8B 11 6A ?? 6A ?? 6A ?? 6A
?? 6A ?? 56 51 FF 52 ?? 56 8B F8 FF 15 ?? ?? ?? ?? 85 FF 79 ?? 57 68 ?? ?? ?? ?? E8
?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? E9 ?? ?? ?? ?? 6A ?? 6A ??
6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 79 ?? 50 68
?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? 8B 85 ?? ??
?? ?? 50 8B 08 FF 51 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 68 ?? ?? ?? ?? 8B F8 FF
}
$delete_shadow_copies_v1_p2 = {
D3 8B 8D ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 6A ??
8B 11 6A ?? 56 57 51 FF 52 ?? 57 8B 3D ?? ?? ?? ?? 8B D8 FF D7 56 FF D7 85 DB 79 ??
53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? 8B 85
?? ?? ?? ?? 50 8B 08 FF 51 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 01 8D 95 ?? ?? ?? ?? 52 8D 95
?? ?? ?? ?? 52 6A ?? 6A ?? 51 FF 50 ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85
?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 52 8B 08 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ??
FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D3 83 C4 ?? FF B5 ?? ?? ??
?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A
?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? E8 ??
?? ?? ?? 83 C4 ?? 8B F8 8D 85 ?? ?? ?? ?? 0F 57 C0 57 56 6A ?? 6A ?? 6A ?? 6A ?? 6A
?? 6A ?? 50 6A ?? 0F 11 07 FF 15 ?? ?? ?? ?? 6A ?? FF 37 FF 15 ?? ?? ?? ?? FF B5 ??
?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
50 8B 08 FF 51 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 85 C9 0F 85 ?? ??
?? ?? 8B 85 ?? ?? ?? ?? 50 8B 08 FF 51 ?? 8B 85 ?? ?? ?? ?? 50 8B 08 FF 51 ?? 8B 85
?? ?? ?? ?? 50 8B 08 FF 51 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 5F 5E 33 CD
5B E8 ?? ?? ?? ?? 8B E5 5D C3
}
$encrypt_files_v1_p1 = {
53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
?? 64 A1 ?? ?? ?? ?? 50 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45
?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F9 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 37 83 C4 ?? C7
85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F 57 C0 C7
85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48
?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D
?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 6A ?? 56 8D 8D ?? ?? ??
?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ??
?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? FF
15 ?? ?? ?? ?? 50 FF 37 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9
?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50
?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C6 45 ?? ?? 8B
}
$encrypt_files_v1_p2 = {
85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D ?? ?? ?? ?? 8D 95 ??
?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? EB
?? 0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 85 ??
?? ?? ?? C6 45 ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? 6A ??
C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 03 BD ?? ?? ?? ?? E8 ?? ??
?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B B5 ??
?? ?? ?? 8D 45 ?? FF 76 ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
?? 8D 45 ?? FF 76 ?? 6A ?? 6A ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
?? ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 6A ?? FF 36 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B
85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 51 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90
8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ??
?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ??
?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90 8A 01 41 84
C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
}
$encrypt_files_v1_p3 = {
6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ??
?? ?? 89 85 ?? ?? ?? ?? 8B 42 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? 8B
95 ?? ?? ?? ?? C6 45 ?? ?? 8B 4A ?? 83 BC 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D ?? ?? ??
?? 85 C9 74 ?? 8D 85 ?? ?? ?? ?? 3B C8 74 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 4A
?? 8B 84 0D ?? ?? ?? ?? 85 C0 0F 94 85 ?? ?? ?? ?? C6 45 ?? ?? A8 ?? 75 ?? 8B 8C 0D
?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ??
E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? EB ?? 0F 57
C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ??
C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? C6 45 ??
?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ??
?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? ?? 85 F6 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75
?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9 ?? ??
?? ?? 8B 85 ?? ?? ?? ?? 83 78 ?? ?? 0F 85 ?? ?? ?? ?? 81 FF ?? ?? ?? ?? 0F 87 ?? ??
?? ?? 85 FF 0F 84 ?? ?? ?? ?? 66 90 BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 3B FE 6A ?? 0F
42 F7 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A
}
$encrypt_files_v1_p4 = {
6A ?? 6A ?? 56 FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D
8D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 46 ?? 50 FF B5 ?? ??
?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 03 C6 89 85 ?? ??
?? ?? 2B FE 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B CF C1 E1 ?? 2B CF 03 C9 83 F9 ?? 0F
82 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 E1 8B FA C1 EF ?? 0F 1F 00 BE ?? ?? ?? ?? 8D 8D ??
?? ?? ?? 3B FE 6A ?? 0F 42 F7 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45
?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8
?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
8D 46 ?? 50 FF B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
C0 ?? 03 C6 89 85 ?? ?? ?? ?? 2B FE 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ??
?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ??
03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8D 8D
?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ??
?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ??
?? FF 37 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ??
?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 83 3D ?? ?? ?? ?? ??
75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ??
?? ?? 50 FF 37 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68
}
$find_files_v2 = {
55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 45
?? 53 8B 5D ?? 56 57 53 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 4C 24
?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
8B F0 89 74 24 ?? 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 50 53 68 ?? ?? ?? ?? E8 ?? ?? ??
?? 83 C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B
3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44
24 ?? 50 FF D7 85 C0 74 ?? F7 44 24 ?? ?? ?? ?? ?? 75 ?? 8D 44 24 ?? 50 53 8D 84 24
?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 44 24 ?? ?? 74 ?? BE ?? ??
?? ?? 8D 44 24 ?? 50 FF 36 FF D7 85 C0 74 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? FF 74
24 ?? 8B 4C 24 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 8D 44 24 ?? 50
56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8
?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
74 ?? 8D 4C 24 ?? 3B C1 74 ?? 68 ?? ?? ?? ?? 83 C0 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ??
?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 33 C0 66 89 84 24 ?? ?? ?? ?? 8D
84 24 ?? ?? ?? ?? 50 FF 36 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 C6 ??
81 FE ?? ?? ?? ?? 7C ?? 8B 74 24 ?? 8B CB E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68
?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? FF 74 24 ?? 50 E8 ?? ?? ??
?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 0F 85
}
$encrypt_files_v2_p1 = {
53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50
8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 43 ?? 8B 73 ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
?? ?? ?? ?? 6A ?? 50 89 B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ??
?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 6A ?? 56 8D
8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50
E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ??
?? 74 ?? FF 15 ?? ?? ?? ?? 50 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
33 F6 E9 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B
01 FF 50 ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C6 45
?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D
}
$encrypt_files_v2_p2 = {
8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ?? 8B 85 ?? ??
?? ?? EB ?? 0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F
11 85 ?? ?? ?? ?? C6 45 ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50
?? 6A ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 83 EC ?? 03 B5 ?? ?? ?? ??
E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ??
?? ?? 83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 6A ?? 56 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ??
?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ??
?? E8 ?? ?? ?? ?? 33 C9 83 C4 ?? 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 51 E8 ?? ?? ??
?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57
E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
81 FE ?? ?? ?? ?? 73 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 EB
?? 8D 0C B6 B8 ?? ?? ?? ?? C1 E1 ?? F7 E1 8D 45 ?? 50 8D 45 ?? C1 EA ?? 50 6A ?? 6A
?? 6A ?? 6A ?? 8B C6 2B C2 6A ?? 50 57 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 45
?? 83 C4 ?? 57 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45
}
$encrypt_files_v2_p3 = {
57 6A ?? 6A ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D
85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D 8D ??
?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84
05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ??
8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
?? ?? ?? E8 ?? ?? ?? ?? 51 C6 45 ?? ?? 6A ?? 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 57
E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8
33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ??
68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ??
?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68
?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84
C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
}
$encrypt_files_v2_p4 = {
6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 46 ?? 8B B5 ?? ?? ?? ?? 6A
?? 50 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75
?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0
8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
?? ?? ?? 57 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF
15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B
40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D
?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ??
?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 50 ?? 8D 4A ?? 89 8C 15 ?? ?? ?? ?? 8D 85
?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
C4 ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
E5 5D 8B E3 5B C2
}
$drop_ransom_note_v2_p1 = {
53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 50 8D
45 ?? 64 A3 ?? ?? ?? ?? 8B F1 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
?? 8B C6 66 83 3E ?? 74 ?? 0F 1F 80 ?? ?? ?? ?? 83 C0 ?? 66 83 38 ?? 75 ?? 50 56 8D
85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83
BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ??
?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ??
?? 50 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 8D 85 ?? ??
?? ?? 3B C6 74 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA
?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
C6 85 ?? ?? ?? ?? ?? 0F 10 06 0F 11 85 ?? ?? ?? ?? F3 0F 7E 46 ?? 66 0F D6 85 ?? ??
?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C6 06 ?? 8B 95 ?? ?? ?? ?? 83 FA
}
$drop_ransom_note_v2_p2 = {
72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 95 ??
?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85
?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D 8D ?? ?? ?? ?? C7
85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ??
?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ??
?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 89 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8D 85 ?? ?? ?? ??
C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ??
?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8B 40 ?? FF D0 85 C0 74 ?? 8B 10 8B C8 6A ??
FF 12 EB ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41
}
$drop_ransom_note_v2_p3 = {
0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ??
?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95 ?? ??
?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40
?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? EB
?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ??
?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0
39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84
0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05
?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D
85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83
C4 ?? 8B 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
C6 85 ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72
?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D
8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ??
?? ?? ?? 8B E5 5D 8B E3 5B C3
}
$smb_spreading_v2_p1 = {
55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 6A ?? 6A ?? 6A ??
6A ?? 68 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? C7
85 ?? ?? ?? ?? ?? ?? ?? ?? 83 3A ?? 0F 8E ?? ?? ?? ?? 33 DB 89 9D ?? ?? ?? ?? 8D 42
?? 03 C3 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89
85 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? ?? ?? 66 90 8D 72 ?? 03 F0 8B CE 8D 79 ?? 66 0F
1F 44 00 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 85 ??
?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ??
?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ??
?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ??
?? 50 6A ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB ?? ?? ?? ?? 0F 85
?? ?? ?? ?? 33 FF 39 BD ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 33 F6 0F 1F 40 ?? 8B 85 ?? ??
?? ?? 83 7C 06 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 34 06 E8 ?? ?? ?? ?? 83 C4
?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? FF 34 06 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF
}
$smb_spreading_v2_p2 = {
15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
?? ?? ?? 47 83 C6 ?? 3B BD ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ??
?? ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B
85 ?? ?? ?? ?? 05 ?? ?? ?? ?? 83 EB ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 0F 85 ??
?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 46 81 C3 ?? ?? ?? ?? 89 B5 ?? ?? ?? ??
89 9D ?? ?? ?? ?? 3B 32 0F 8C ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ??
?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 CD 33 C0 5F 5E 5B E8 ?? ?? ?? ?? 8B E5 5D C3
}
condition:
uint16(0) == 0x5A4D and
(
(
(
all of ($find_files_v1_p*)
) and
(
all of ($network_enumeration_v1_p*)
) and
(
all of ($delete_shadow_copies_v1_p*)
) and
(
all of ($encrypt_files_v1_p*)
)
) or
(
(
$find_files_v2
) and
(
all of ($encrypt_files_v2_p*)
) and
(
all of ($drop_ransom_note_v2_p*)
) and
(
all of ($smb_spreading_v2_p*)
)
)
)
}