Archivos de etiquetas: InterceptX

Twittean vulnerabilidad 0-Day de Windows

El investigador de seguridad conocido como SandboxEscaper, liberó vía Twitter la prueba de concepto (PoC) de un exploit para una vulnerabilidad, hasta el momento desconocida, que afecta al sistema operativo Microsoft Windows.
SandboxEscaper es el mismo investigador quien previamente liberó exploits para dos vulnerabilidades 0-Day, dejando expuestos a ataques a todos los usuarios de Windows, hasta que Microsoft liberó las correspondientes actualizaciones de seguridad.
Esta nueva vulnerabilidad expuesta consiste en un problema de lectura arbitraria de archivos, la cual podría permitir que un usuario con pocos privilegios (o a un programa mal intencionado) leer el contenido de cualquier archivo (al que no debiese tener acceso a menos de ser Administrador) en un sistema Windows.
Esta vulnerabilidad reside en la función “MsiAdvertiseProduct” la cual es responsable de generar “un script de aviso o aviso de productos para el computador y además habilita al instalador para que escriba en el registro junto con los atajos de información usados para asignar o publicar un producto”.
De acuerdo al investigador, debido a una validación impropia, la función afectada puede ser abusada para instalar forzadamente una copia de cualquier archivo, asignándole privilegios de Sistema y leer su contenido, resultando en una vulnerabilidad de lectura de archivos arbitraria (Arbitrary File Read).
El investigador añadió: “Aún sin un vector de enumeración, estas son malas noticias, debido a que bastante software de documentos (como Office) mantienen archivos en ubicaciones estáticas que contienen la ruta completa y los nombres de archivo de los documentos recientemente abiertos”.
“Además de leer documentos como estos, es posible obtener nombres de archivos de documentos creados por otros usuarios; el sistema de archivos es una telaraña y las referencias a archivos creados por diversos usuarios son posibles de hallar en cualquier parte”
El sitio de Github en el cual fue publicado el exploit fue bajada y la cuenta de este investigador suspendida.
Para evitar la explotación de amenazas avanzadas como esta, recomendamos implementar un sistema de protección contra amenazas avanzadas (Advanced Endpoint Security) como Sophos InterceptX Advanced con EDR.
El Deep Learning hace que Intercept X sea más inteligente, más escalable y que ofrezca un mayor rendimiento que las soluciones de seguridad para endpoints que utilizan únicamente el Machine Learning tradicional o la detección basada en firmas.
Más información acerca de Sophos InterceptX en https://www.makros.cl/sophos

Nuevo ransomware se propaga rápidamente en China, infectando sobre 100.000 computadores

Un nuevo ransomware se está propagando rápidamente en China. Este ya ha infectado más de 100.000 computadores en los últimos cuatro días como resultado de un ataque de cadena de producción, y el número de afectados crece cada hora.
Algo interesante en este malware es que no demanda un pago en Bitcoins, en vez de eso los atacantes solicitan el pago de 100 yuanes (cerca de 16 dólares) como rescate mediante WeChat Pay (el sistema de pagos ofrecido por la aplicación de mensajería más usada en China).
Al contrario de las epidemias de WannaCry y NotPetya que ocasionaron caos a nivel mundial el año pasado, este ransomware sólo está afectando a usuarios de China.
Además, incluye una habilidad adicional de robar las contraseñas de los usuarios de Alipay, NetEase, Baidu Cloud Disk, Jingdong, Taobao, Tmall, AliWangWang y QQ.
De acuerdo a lo informado por la empresa china de ciberseguridad Velvet Security, los atacantes agregaron un código malicioso en el software de programación “EasyLanguage”, utilizado por un gran número de desarrolladores.
El programa modificado maliciosamente está diseñado para inyectar este ransomware en cada aplicación y software compilado por esta plataforma, en otro ejemplo de un ataque en cadena de producción para distribuir el malware rápidamente.
Este malware encripta todos los archivos en el sistema infectado, exceptuando aquellos con extensión .gif, .exe, y .tmp.
Para defenderse de los antivirus tradicionales, los atacantes firmaron el código de su malware con una firma digital de confianza de Tencent Technologies, esto además evita que se encripten datos de algunos directorios específicos como “Tencent Games”, “League Of Legends”, entre otros.
Si el rescate no es pagado en el tiempo indicado, el malware amenaza con borrar la llave de desencriptación de sus servidores de comando y control.
Junto con la encriptación de archivos y el robo de credenciales, este ransomware ademas colecta información del equipo infectado: modelo de CPU, resolución de pantalla, información de la red y un listado del software instalado.
Los investigadores de ciberseguridad encontraron que el ransomware fue programado de manera simple y los atacantes mienten acerca del proceso de encriptación, ya que la nota de rescate indica que los archivos fueron encriptados utilizando el algoritmo DES, pero en realidad están encriptados con un algoritmo mucho menos seguro llamado Xor y además almacena una copia de la llave de desencriptación localmente en %user%AppDataRoamingunname_1989dataFileappCfg.cfg
Usando esta información, Velvet Security creó una herramienta de desencriptación gratuita que puede desencriptar los archivos fácilmente sin la necesidad de pagar por algún rescate.
Debido a la innovación en la forma que se están produciendo las amenazas, de forma cambiante continuamente, es recomendado contar con alguna herramienta de protección avanzada de amenazas y análisis de comportamiento como Sophos Intercept X
Fuente: https://thehackernews.com/2018/12/china-ransomware-wechat.html

SamSam ransomware y el ataque a la ciudad de Atlanta

El jueves 22 de marzo de 2018 fuimos testigos de las consecuencias que trae un ataque de ransomware organizado y dirigido. La última víctima de infecciones del ransomware SamSam fue la ciudad de Atlanta en EEUU. Fuentes oficiales indicaron que la ciudad se encontraba activamente luchando contra una infección por ransomware, lo cual resultó en la pérdida de acceso a archivos y la baja de servicios y sistemas.
Según el Jefe de Operaciones de la ciudad, Ricard Cox, la infección se detectó a las 5:40 am del jueves (hora local) afectando en principio a los servicios relacionados con el pago de cuentas y archivos judiciales en línea. El lado positivo es que el sitio web y la infraestructura crítica como el sistema de seguridad pública, aguas y el aeropuerto operaron sin mayores problemas.
La nota de rescate desplegada en cada equipo indica que los atacantes solicitaban $6.800 dólares americanos para desencriptar los archivos en cada computador infectado. Alternativamente se le ofreció a “la ciudad” la opción de pagar $51.000 dólares a cambio de las llaves de desencriptación para todos los computadores afectados en el ataque.
La alcadesa de Atlanta, Keisha Lance Bottoms, al ser consultada por los planes de la ciudad para pagar el rescate, no descartó la opción inmediatamente, aduciendo que estaban a la espera de consejo por parte de agencias federales.
La ciudad estuvo trabajando con el FBI, el departamento de seguridad interna, Microsoft y Cisco para determinar la causal de esta infección y la mejor forma de responder al ataque. Los expertos que revisaron la nota encontraron similitudes que sugieren que el ransomware involucrado es SamSam, una cadena de ransomware que ha incrementado en actividad en lo que va del año, infectando otras agencias de gobierno estadounidense. SamSam tiene un historial de réplica mediante internet, principalmente a través de ataques de fuerza bruta en RDP o explotando vulnerabilidades específicas.
También se confirmó que los sistemas de esta ciudad tienen servidores con SMBv1 expuesto a internet, lo que permitiría una explotación mediante EternalBlue (el mismo exploit de WannaCry y NotPetya).
Algunas cosas acerca del ransomware SamSam
Su notoriedad comenzó junto con el 2018: Éste no fue el primer ataque con un objetivo gubernamental utilizando SamSam, ya en enero otras municipalidades y oficinas de gobierno fueron infectadas, en más de una ocasión. Aunque originalmente fue descubierto en 2016 al ser utilizado contra blancos consistentes en organizaciones relacionadas con la salud que utilizaban servidores vulnerables JBoss. Una de sus víctimas, Erie County Medical Center, sufrió por meses sus consecuencias y el daño se estimó en $10 millones de dólares. Actualmente los atacantes que lo utilizan llevan acumuladas ganancias de más de $300.000 dólares en Bitcoin.SamSam se utiliza principalmente contra organizaciones gubernamentales y de salud: Como ya fue indicado anteriormente, este ransomware fue utilizado en ataques contra este tipo de organizaciones, se intuye que esto se debe a los presupuestos acotados junto con la gran criticidad de los servicios ofrecidos, de esta forma el impacto es mayor en muchos aspectos, lo que fuerza a sus víctimas a realizar el pago del rescate para recuperar la operatividad de sus servicios.

No se propaga por correos: Al contrario de muchas cadenas de ransomware, SamSam no depende de empleados despistados ni de correos con supuestos premios que tienten a hacer “click aquí”. En vez de eso, este ransomware utiliza las vulnerabilidades en servidores para ganar acceso mediante credenciales débiles o expuestas. Tampoco son los únicos que utilizan este enfoque, identificar los puertos abiertos y servicios como RDP es una técnica frecuente en los ataques en el último tiempo. Para prevenir los ataques por RDP se sugiere:

Restringir el acceso mediante firewalls y utilizar un gateway de RDP, usar VPN.Usar contraseñas robustas y un segundo factor de autenticaciónLimitar los usuarios que puedan utilizar el Escritorio Remoto.Implementar una política de bloqueo de cuentas para bloquear aquellas que son víctimas de ataques de fuerza bruta

Los atacantes detrás de SamSam son especialistas en evitar detecciones de antivirus y en atacar a ls mismas víctimas en reiteradas oportunidades: En cada uno de estos incidentes, las limitaciones de los antivirus tradicionales han sido expuestas. Con el más claro ejemplo del ataque al departamento de transporte de Colorado el cual fue infectado a pesar de contar con el antivirus McAfee en todos sus equipos. McAfee respondió actualizando su software con nuevas firmas para bloquear esta variante de SamSam. Sin embargo al cabo de 8 dias después los atacantes enviaron una nueva variante diseñada para evadir la detección por firmas, infectaron a la misma organización por segunda vez, en esta ocasión el portavoz de la oficina de tecnologías de la información de Colorado asumió que las herramientas que estaban utilizando no sirvieron pues el malware se encuentra adelantado a ellos. En este punto una herramienta de detección por comportamiento como Sophos Intercept X hubiese sido vital desde un comienzo para salvaguardar la integridad y disponibilidad de los datos.SamSam puede ser evitado: Hoy los ataques avanzados evaden o inhabilitan los antivirus. Para poder detenerlos, las organizaciones deben invertir en herramientas más inteligentes, la seguridad endpoint avanzada debe tener la habilidad de no sólo bloquear ejecutables, sino detener el comportamiento malicioso en tiempo real. Sophos Intercept X con Deep Learning es un sistema liviano de análisis de comportamiento, el deep learning de Intercept X hace que sea mas inteligente y brinda mayor seguridad que las herramientas que utilizan únicamente el aprendizaje automático tradicional o la detección basada en firmas.

Fuente: https://blog.barkly.com/atlanta-ransomware-attack-2018-samsam

La protección predictiva sitúa a Sophos como líder en el Cuadrante Mágico de Gartner

La consultora Gartner, Inc., ha situado a Sophos como líder en el Cuadrante Mágico de 2018 para plataformas de protección de endpoints, posición en la que se mantiene desde 2017 cuando se lanzó la primera edición de este prestigioso informe.
Gartner afirma que la definición de una plataforma de protección de endponits (EPP por sus siglas en inglés) se ha actualizado: “En septiembre de 2017, en respuesta a los cambios en las dinámicas del mercado y los requisitos del cliente, ajustamos nuestra definición de EPP. Una EPP es una solución implementada en dispositivos endpoint para prevenir malware basado en archivos, detectar y bloquear actividad maliciosa de aplicaciones de confianza y no confiables, y proporcionar las capacidades de investigación y corrección necesarias para responder dinámicamente a incidentes de seguridad y alertas. Las organizaciones están dando importancia a las capacidades de protección y detección dentro de una EPP, pero no están valorando la habilidad de los proveedores para proporcionar funciones de protección de datos tales como prevención de pérdida de datos, cifrado o controles del servidor”.
“El panorama de amenazas está evolucionando a un ritmo sorprendente”, explica Dan Schiappa, vicepresidente senior y director general de productos en Sophos. “Durante los últimos 12 meses solo hemos visto repetidos ataques de ransomware contra los que la protección tradicional endpoint, por sí sola, no es suficiente. Para mantenerse a la vanguardia de protección endpoint, los proveedores deben analizar continuamente el panorama y ser más rápidos a la hora de innovar los sistemas de seguridad que los cibercriminales en sus técnicas de ataque. Creemos que la continua posición de Sophos como líder en el Cuadrante Mágico para plataformas de protección de endponits de Gartner demuestra que Sophos puede innovar y ofrecer soluciones que cualquier organización pueden aprovechar cada día. La predicción de amenazas futuras es el siguiente paso en la protección de seguridad y las capacidades de Deep Learning que hemos agregado a nuestro portfolio nos permiten hacer precisamente eso, de forma más efectiva que cualquier otro proveedor de última generación”.
Reforzando aún más los niveles avanzados de protección dentro de su portfolio de solucionesendpoint, Sophos ha anunciado la introducción de Deep Learning basado en redes neuronales y tecnología avanzada anti-exploits a su última versión con protección next-gen de Intercept X. Intercept X puede instalarse junto con el antivirus de cualquier proveedor, aumentando de inmediato la precisión de detección. Sophos cree que sus tecnologías de protección next-gen de redes, servidores y usuarios ampliarán su liderazgo y continuarán protegiendo a los clientes a medida que evolucionan las amenazas. Sophos ha desarrollado la tecnología más avanzada de Machine Learning para mejorar las capacidades de Sophos Sandstorm y continúa potenciando el análisis automatizado de amenazas en las instalaciones de SophosLabs en todo el mundo.
Makros es Platinum Partner de Sophos y además Socio Del Año para Latinoamérica en 2017.

WannaMine, el nuevo modelo de ataque que desplaza progresivamente al ransomware

El año pasado estuvimos repletos de historias acerca de ataques ransomware, los cuales son bastante dolorosos.
Son rápidos, brutales y altamente perjudiciales, el ransomware difiera de otros ataques de malware que intentan mantener un bajo perfil y evitar la exposición.
Además el ransomware puede salir bastante caro de remediar, aún cuando tenga un proceso de respaldo y recuperación eficientes, es mas engorroso este proceso de que tan solo seguir trabajando normalmente.
De hecho, el ransomware puede ser aún mas caro, puede ser un desafío ético, forzándonos a tomar difíciles desiciones entre intentar reparar el problema o hacer un trato con los criminales con la esperanza de tener nuestro negocio funcionando libremente.
Pero hay un nuevo tipo de malware en el 2018: Cryptomining.
El malware de criptominado se trata cuando los delincuentes infectan sigilosamente su computador con un software que realiza cálculos que generan criptodivisas tales como Bitcion, Monero o Ethereum, así los delincuente se quedan con las criptodivisas generadas.
Esto lo realizan dado que para generar dinero con el “minado” de criptodivisas, necesitas mucha electricidad para entregar mucho poder de procesamiento a muchos computadores.
Entonces puedes arrendar espacio en un rack gigante de servidores, por ejemplo en Islandia, donde la electricidad es barata y el clima es lo suficientemente frío como para evitar que tus servidores se frían…
… o puedes robar la electricidad de otras personas, poder de procesamiento y aire acondicionado al utilizar malware que infiltre criptominadores en sus redes, sus navegadores, sus cafeterías, y más.
Cual es el daño
Si se infecta con un criptominador, todos sus datos seguirán ahi, y aún tendrá acceso a ellos, entonces el criptominado suena como un golpecito comparado con el ransomware.
Sin embargo, su computador probablemente se volverá enervantemente lento, los ventiladores de los portátiles rugirán todo el tiempo y la duración de la batería será nula.
En un dispositivo móvil, todos estos efectos secundarios son mucho mas graves, ya que el quedarse sin batería implica que se apagará rápido y el sobrecalentamiento asociado con el uso suer-pesado del procesador podría ocasionar un daño permanente.
Irónicamente, mucha información acerca del criptominado indica que no se sugiere minar en teléfonos móviles, el poder de procesamiento no es suficiente para resultados decentes, así el costo superaría a los beneficios. Claro que a los delincuentes detrás de este tipo de ataque no les importa.
¿Como protegerse?
Un software de prevención de exploits como Sophos Intercept X puede bloquear este tipo de ataques, al reconocer el comportamiento de este malware detecta el abuso de condiciones en el sistema operativo y lo bloquea.
Un sistema de antivirus y prevención de intrusos (Sophos Endpoint Protection) puede detener los procesos maliciosos que permiten que se ejecute el ataque, aún cuando los exploits que lo permiten se reinicie cada vez.
Un dispositivo de seguridad en la red como el Firewall XG de Sophos puede bloquear el tráfico de red que un malware criptominador requiere para funcionar.
Junto con lo anteriormente expuesto, la mejor defensa es la preparación, parchar nuestros sistemas oportunamente nos da la ventaja de estar al día en las protecciones que el fabricante de nuestro sistema operativo ofrece.
Un ejemplo es con el tristemente célebre ransomware WannaCry, cuya propagación era evitable luego de instalar el parche MS17-010 de Microsoft para sus sistemas operativos Windows.
Esto no impide que se sigan ejecutando ataques con ransomware, de hecho esta semana ha causado un gran revuelo el ransomware GrandCrab, el cual solicita una recompensa cercana al millón de pesos en una criptomoneda llamada Dash (la cual es mucho mas difícil de rastrear que el general de las criptodivisas)

Ransomware Scarab ataca a escala global

Una campaña con correos maliciosos está tomando forma, el mayor botnet de spam, Necurs, envía una nueva cadena de ransomware a una escala de 2 millones de correos por hora.
Entre el spam malicioso que se encuentra distribuyendo están el los troyanos Dridex y Trickbot, además de los ransomware Locky y Jaff, junto con una nueva versión de Scarab.

En estos correos se encuentra un script de VB y un adjunto comprimido en 7zip para realizar la descarga. Estos correos llegan con un adjunto en formato “Scanned from <MARCA_IMPRESORA>”.
Como siempre la principal recomendación es no abrir correos no esperados o de alguna otra forma sospechosos. Adicionalmente es grato saber que Sophos Antivirus detecta y previene este malware.
Para el próximo año se espera que el ransomware sea el principal método de ataque para los ciberdelincuentes, una excelente forma de prevención es Sophos Intercept X, el cual utiliza el comportamiento de las aplicaciones para evitar encriptaciones no solicitadas.
Información Técnica:
SHA-256:
Script: c7e3c4bad00c92a1956b6d98aae0423170de060d2e15c175001aaeaf76722a52
7zip: 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
URL de descarga (bloquear):
hard-grooves[.]com/JHgd476?
pamplonarecados[.]com/JHgd476?
miamirecyclecenters[.]com/JHgd476?
———–
Adicionalmente se detectaron nuevos hashes y fuentes de amenazas, los cuales también se recomienda bloquear:
http://8 0.211.173.20:80/amnyu.arm 0255c6d7b88947c7bc82c9b06169e69d http://8 0.211.173.20:80/amnyu.arm 3e72bbab07516010ab537d7236c48a2c http://8 0.211.173.20:80/amnyu.arm 6c5cadcc9dbcac55b42d1347f4b51df1 http://8 0.211.173.20:80/amnyu.arm7 2e5ec99ef2cf8878dc588edd8031b249 http://8 0.211.173.20:80/amnyu.arm7 359527251c09f4ec8b0ad65ab202f1bb http://8 0.211.173.20:80/amnyu.arm7 4c21d1f6acfb0155eb877418bb15001d http://8 0.211.173.20:80/amnyu.arm7 5cd69f7c5cd6aef4f4b8e08181028314 http://8 0.211.173.20:80/amnyu.arm7 794f01740878252e8df257b0511c65df http://8 0.211.173.20:80/amnyu.arm7 b0791270cc6b180ff798440f416f6271 http://8 0.211.173.20:80/amnyu.arm7 eee4ff0e2c9482acea3251c9c2ce6daf http://8 0.211.173.20:80/amnyu.arm a6f11eba76debd49ee248b6539c4d83c http://8 0.211.173.20:80/amnyu.arm ccc8761335b2d829dff739aece435eac http://8 0.211.173.20:80/amnyu.arm dd10fb3ed22a05e27bca3008c0558001 http://8 0.211.173.20:80/amnyu.arm e090660bbc7c673bf81680648718e39e http://8 0.211.173.20:80/amnyu.m68k 1782f07f02d746c13ede8388329921e4 http://8 0.211.173.20:80/amnyu.m68k 4ccd3036cadcbe2a0c4b28ce4ad77b7b http://8 0.211.173.20:80/amnyu.m68k 84d737bc5a1821c2f21489695c2c3a71 http://8 0.211.173.20:80/amnyu.m68k 8f347206f06b05ea8d2e8ea03f4f92d4 http://8 0.211.173.20:80/amnyu.m68k 94353157ddcd3cb40a75a5ecc1044115 http://8 0.211.173.20:80/amnyu.m68k b1c66e2a2ed68087df706262b12ca059 http://8 0.211.173.20:80/amnyu.m68k b8aedf6ee75e4d6b6beeafc51b809732 http://8 0.211.173.20:80/amnyu.mips 0ee0fc76a8d8ad37374f4ac3553d8937 http://8 0.211.173.20:80/amnyu.mips 2aa0c53d7d405fa6ffb7ccb895fb895f http://8 0.211.173.20:80/amnyu.mips 56b74e34ddf0111700a89592b5a8b010 http://8 0.211.173.20:80/amnyu.mips 62fa57f007a32f857a7e1d9fb5e064eb http://8 0.211.173.20:80/amnyu.mips 633df071ac6f1d55193fc4c5c8747f2a http://8 0.211.173.20:80/amnyu.mips 6eed6b55c5cd893aa584894a07eec32f http://8 0.211.173.20:80/amnyu.mips 97c314a2a100ea4987e73e008225d3be http://8 0.211.173.20:80/amnyu.mpsl 09d98cbaa9794184841450221d410f15 http://8 0.211.173.20:80/amnyu.mpsl 21f1ab847a9b27f8aaabcafd9cf59756 http://8 0.211.173.20:80/amnyu.mpsl 33e1e2803bb70cd0d66911175782c6a1
http://8 0.211.173.20:80/amnyu.mpsl 4e63eccca00b01b66162fa5258d03956 http://8 0.211.173.20:80/amnyu.mpsl 7d2c1f3d81a2df7beea99552d0704c2d http://8 0.211.173.20:80/amnyu.mpsl 7e0f883f239c922a151aab2500400880 http://8 0.211.173.20:80/amnyu.mpsl e46cbc10309e970ec267afee496832c9 http://8 0.211.173.20:80/amnyu.ppc 3dadafe1cc9639a7d374682dafab954c http://8 0.211.173.20:80/amnyu.ppc 49e4b3e5d7302c2faf08c1ed585a89ca http://8 0.211.173.20:80/amnyu.ppc 80bcea07b752ae4306da5f24f6693bea http://8 0.211.173.20:80/amnyu.ppc 9e4caeada13676ddc5b7be44e03fe396 http://8 0.211.173.20:80/amnyu.ppc a40852f9895d956fe198cb2f2f702ebf http://8 0.211.173.20:80/amnyu.ppc a8bde89d2fe98268801b58f42214cdca http://8 0.211.173.20:80/amnyu.ppc e968bf902db104c91d3aaa0bb363f1bd http://8 0.211.173.20:80/amnyu.sh4 141930ed206ef5f076b2a233b390ea65 http://8 0.211.173.20:80/amnyu.sh4 1bdaf4cd21fb9cb42d971a25fb183d04 http://8 0.211.173.20:80/amnyu.sh4 25d3ddb85bf392c273dd93922199628c http://8 0.211.173.20:80/amnyu.sh4 39eddba755333e22841b2627a2a19e59 http://8 0.211.173.20:80/amnyu.sh4 485f2b2a684865ead274bba6931c95c9 http://8 0.211.173.20:80/amnyu.sh4 56afda94860e8d1ca8a7b9960769020d http://8 0.211.173.20:80/amnyu.sh4 9dc0c166e30922d1ea8da06ba46996dc http://8 0.211.173.20:80/amnyu.spc 3f0322c0b7379e492a17d3cb4fa2c82e http://8 0.211.173.20:80/amnyu.spc 53c60f58ce576071c71ede7df656e823 http://8 0.211.173.20:80/amnyu.spc 5db44876c3acc0b589c8d696c41b6413 http://8 0.211.173.20:80/amnyu.spc 651b186b04583f0067d4cc2d95565a95 http://8 0.211.173.20:80/amnyu.spc a18b4a6250f51c1f350b37e1187292fb http://8 0.211.173.20:80/amnyu.spc c5e1a57671dab607b8fa7363ab6582ab http://8 0.211.173.20:80/amnyu.spc e6cd9197d443fb9fa79ab103232e2b67 http://8 0.211.173.20:80/amnyu.x86 018a9569f559bfafbc433dc81caf3ec0 http://8 0.211.173.20:80/amnyu.x86 1663952daca0c49326fb8fa5585d8eec http://8 0.211.173.20:80/amnyu.x86 243d2c8ba1c30fa81043a82eaa7756e7 http://8 0.211.173.20:80/amnyu.x86 4b375509896e111ef4c3eb003d38077f http://8 0.211.173.20:80/amnyu.x86 6371b6b1d030ac7d2cb1b0011230f97f
http://8 0.211.173.20:80/amnyu.x86 64bda230a3b31a115a29e0afd8df5d8a http://8 0.211.173.20:80/amnyu.x86 ed825b8aadee560e5c70ffaa5b441438 http://8 0.211.173.20/amnyu.arm7 b0791270cc6b180ff798440f416f6271 http://8 0.211.173.20/amnyu.arm e090660bbc7c673bf81680648718e39e http://8 0.211.173.20/amnyu.m68k 4ccd3036cadcbe2a0c4b28ce4ad77b7b http://8 0.211.173.20/amnyu.mips 97c314a2a100ea4987e73e008225d3be http:// 80.211.173.20/amnyu.mpsl 7d2c1f3d81a2df7beea99552d0704c2d http:// 80.211.173.20/amnyu.ppc e968bf902db104c91d3aaa0bb363f1bd http:// 80.211.173.20/amnyu.sh4 485f2b2a684865ead274bba6931c95c9 http:// 80.211.173.20/amnyu.spc 5db44876c3acc0b589c8d696c41b6413 http:// 80.211.173.20/amnyu.x86 4b375509896e111ef4c3eb003d38077f http:// blacklister.nl/bins/mirai.arm be6165a3e131cc92d3f7d51284cf70bb http:// blacklister.nl/bins/mirai.arm5n c639bc6b50ab0be250147572956a9d6b http:// blacklister.nl/bins/mirai.arm6 8f9c5099e3749d0199262289c9deaa3d http:// blacklister.nl/bins/mirai.arm7 e508956188f2cb71605ae0e8fbdf4a64 http:// blacklister.nl/bins/mirai.i486 25846ce769f0bd5b204f440127d51f21 http:// blacklister.nl/bins/mirai.i686 d3c82dd5d512304efc6a42018f0bf2a7 http:// blacklister.nl/bins/mirai.m68k 3ef657efcfe16ad869a587d30480306f http:// blacklister.nl/bins/mirai.mips b4af22c2b3b1af68f323528ee0bc6637 http:// blacklister.nl/bins/mirai.mips64 1e1d6b41a13c97ad3754815021dd0891 http:// blacklister.nl/bins/mirai.mpsl 6adb31781db797712d759f564b9761b6 http:// blacklister.nl/bins/mirai.ppc 7936cc1d021664892c48408ec1c9143c http:// blacklister.nl/bins/mirai.ppc440fp fd6235e4e1cf4a0f6c2d609a7b1ffc55 http:// blacklister.nl/bins/mirai.sh4 5c8ef7f23f26e0e48ab527ef83874213 http:// blacklister.nl/bins/mirai.spc 7ce73df7fb50beda2f549f9695a23538 http:// blacklister.nl/bins/mirai.x86 539e9bf8c81bd3e9ae520fd74218a6b8 http:// blacklister.nl/bins/mirai.x86_64 d69e501480f03f06e4579fa13e47d04a