欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

环球ug电脑版下载:详细分析新型恶意软件FlowCloud及其幕后攻击者

admin2020-06-1453恶意软件

一、概述

2019年8月,Proofpoint研究职员发现LoopBack恶意软件在2019年7月至2019年8月时代针对美国公用事业部门发动攻击。在今后,我们对2019年8月21日至29日时代的其他LookBack恶意流动举行了剖析。在这些恶意流动中,使用了包罗恶意宏代码的文件,以此将模块化的恶意软件通报给美国各地的公共事业服务提供商。在LookBack流动的同时,我们的研究职员还发现了一个新的恶意软件家族,该家族也同样针对美国公共事业提供商发动攻击,我们将其命名为FlowCloud。

犹如LookBack一样,FlowCloud恶意软件可以让攻击者完全控制受熏染的系统。其中的远程接见木马(RAT)功效包罗接见已安装的应用程序、键盘、鼠标、屏幕、文件、服务和历程的能力,而且可以通过下令和控制的途径来泄露信息。

我们剖析了2019年7月至11月时代的网络钓鱼流动,并确定LookBack和FlowCloud恶意软件都可以归因于我们命名为TA410的威胁参与者。我们凭据对恶意宏代码的使用、恶意软件安装历程所使用的手艺和通报基础结构的复用这三点得出的这一结论。

此外,我们在剖析历程中发现,TA410和TA429(APT10)的通报计谋之间还存在着相似之处。详细而言,我们已经看到两个威胁参与者使用配合的附件恶意宏。在2019年11月发现的TA410恶意流动中,他们使用网络钓鱼恶意附件的方式,通报了与TA429(APT10)相关的基础结构。然则,我们的剖析师以为,威胁行为者可能有意重用广为人知的TA429(APT10)的手艺和基础架构,以误导剖析职员。因此,在研究历程中,我们不会将LookBack和FlowCloud恶意流动归因到TA429(APT10),而是倾向于这两个恶意软件属于一个单独的恶意组织。

下面展示了我们发现的LookBack和FlowCloud恶意流动时间表:


二、通报历程

我们的研究职员观察到从2019年7月10日最先的网络钓鱼流动,使用PE可执行附件的方式针对美国公共事业提供商发动攻击,而且在钓鱼邮件中使用了类似于“PowerSafe能源教育课程(30天试用)”这样的问题。这些恶意流动一直连续到2019年9月。

我们对这些网络钓鱼流动开展了剖析,确定PE附件通报了一种模块化的恶意软件,恶意软件的开发职员将其程序数据库(PDB)路径命名为“FlowCloud”。值得注意的是,这些FlowCloud恶意流动与我们先前发现的LookBack恶意流动是同时举行。FlowCloud和LookBack恶意软件系列都是针对美国的公共事业提供商,而且都使用了培训和认证为主题的诱饵,两个恶意软件都使用了威胁参与者控制的域名举行通报。在某些案例中,FlowCloud和LookBack恶意流动不仅针对相同的企业,还针对相同的收件人。

用于通报FlowCloud恶意软件的电子邮件发送者行使了威胁参与者控制的域名举行通报,模拟能源行业的培训服务,其使用的子域名中还包罗要害词“engineer”。

从2019年11月的攻击最先,我们观察到FlowCloud的通报计谋产生了显著的转变。其针对美国公共事业公司的目的仍然保持稳定,然则威胁参与者从原先的使用PE附件最先转移到使用恶意的、包罗大量宏的Microsoft Word文档,这些文档中的宏与LookBack恶意软件流动中所使用的通报和安装宏异常相似。

此外,威胁参与者从11月最先,使用发件人域名asce[.]email来通报这些附件。该域名在2019年6月首次注册到103.253.41[.]75这个IP地址,在先前的LookBack恶意流动中作为侦查IP。在2019年10月29日,该域名剖析到IP地址134.209.99[.]169,这个IP地址还托管了多个能源认证和教育主题域名。其中有许多域名,还与2019年7月和8月FlowCloud网络钓鱼流动中先前观察到的通报域名使用同一个SSL证书,证书中的信息如下图所示。在下图中,展示了威胁参与者将一个SSL证书用于多个能源和培训主题的域名上。攻击者在“备用名称”字段中列出了由证书署名的域名,从而可以标识其他的相关基础结构。在FlowCloud恶意流动中使用了许多这样的域名。

在powersafetrainings[.]org域名上使用的SSL证书数据,与多个能源主题的域名相关:


下面列举了TA410差别阶段所使用的IP地址,包罗它们在首次被发现时与之关联的注册域名,以及通报恶意软件所使用电子邮件地址对应的域名。

IP地址:103.253.41[.]75

首次发现日期:2019年6月23日

注册域名:

Nceess[.]com、Globalenergycertification[.]com(用于通报的域名)

Nerc[.]email、Asce[.]email(注册的域名)

通报的恶意软件:LookBack

IP地址:134.209.99[.]169

首次发现日期:2019年10月29日

注册域名:

Asce[.]email(用于通报的域名)

Powersafetraining[.]net(注册的域名)

mails.energysemi[.]com、powersafetrainings[.]org、www.mails.energysemi[.]com、www.powersafetraining[.]net、www.powersafetrainings[.]org(使用SSL证书的域名)

通报的恶意软件:FlowCloud

IP地址:101.99.74[.]234

首次发现日期:2019年7月2日

注册域名:www.powersafetrainings[.]org(用于通报的域名)

通报的恶意软件:FlowCloud

在2019年11月恶意流动中使用的电子邮件冒充成美国土木工程师学会,并使用与正当域名类似的发件域名asce[.]org。该电子邮件的结构与2019年7月模拟NCEES和全球能源认证并用于通报LookBack恶意软件的电子邮件异常相似,如下图所示。

2019年11月以ASCE为主题的网络钓鱼电子邮件,通报FlowCloud恶意软件:


2019年7月以NCEES为主题的网络钓鱼电子邮件,通报LookBack恶意软件:


三、破绽行使:安装宏

如上所述,在长时间使用PE附件的形式在恶意流动中通报FlowCloud后,在2019年11月,威胁参与者最先转向行使带有恶意宏的Microsoft Word文档。Word文档附件与用于通报FlowCloud的宏具有异常相似之处,我们据此确定了2019年7月和8月通报的LookBack恶意软件。

与LookBack所使用的方式相同,FlowCloud宏使用了隐私增强邮件文件(.pem),这些文件随后被重命名为文本文件pense1.txt。接下来,恶意软件将该文件另存为可执行文件gup.exe,并使用名为Temptcm.tmp的某版本certutil.exe工具来执行。

为了举行对照,我们划分剖析了2019年11月5日获得的用于安装FlowCloud恶意软件的宏,以及2019年8月6日获得的用于安装LookBack恶意软件的宏。

2019年11月5日用于安装FlowCloud恶意软件的宏:


2019年8月6日用于安装LookBack恶意软件的宏:


在我们此前公布过的一篇详细剖析破绽行使的文章中,我们对LookBack恶意软件所行使的手艺举行了加倍深入地剖析。在这里,FlowCloud使用完全相同的方式,其中包罗完全相同的宏串联代码。

只管我们发现LookBack Gup署理工具和FlowCloud恶意软件的两个恶意宏的最终执行方式相同,但照样在FlowCloud的宏中找到了一种新引入的恶意软件通报方式。

在早期LookBack版本的宏中,将Payload放在许多隐私增强邮件文件(.pem)中,这些文件将在用户执行附件文件时被删除。而FlowCloud版本的宏则行使此前从未观察到的一部分代码,从DropBox的URL下载Payload。在下载Payload之后,以.pem文件形式将FlowCloud恶意软件的PE文件保存为Pense1.txt。下图恶意软件的宏通报代码中展示了FlowCloud宏,其中存在问题的通报部分被调出。

FlowCloud恶意软件的宏通报代码:


在FlowCloud宏中还包罗一个新鲜的try...catch语句,该语句最初实验从DropBox的URL下载FlowCloud Payload,作为try语句的一部分。然则,若是无法从该资源中检索Payload,则会有一条与try语句险些相同的catch语句实验从URL http://ffca.caibi379[.]com/rwjh/qtinfo.txt”.”检索恶意软件资源。下图中的FlowCloud恶意软件Catch语句宏代码展示了有问题的catch语句。

FlowCloud Malware Catch语句宏代码:

这个try...catch语句异常主要,由于catch语句和恶意软件资源中的URL此前在enSilo 2019年5月揭晓的博客中提到过,这篇文章问题为“Uncovering New Activity by APT10”。在该文章中,声称这个URL提供了修改后的Quasar RAT Payload,向其中添加了SharpSploit(一个开源的后破绽行使工具)。在FlowCloud恶意软件通报的当天,该URL和资源不可用,但DropBox URL乐成通报了FlowCloud .pem文件。只管我们还没有验证其他研究职员对Quasar RAT样本所做的归因,但该恶意软件所使用的URL,与此前TA429(APT10)的威胁指标存在重合,而且TA429所使用的URL在此前还没有公然。虽然从表面上看,使用该域名可能意味着恶意软件可以归因到TA429,但我们还发现了域名注册信息、非流动URL中存在的一些异常,将会在后文举行详细讨论。

四、FlowCloud恶意软件剖析

凭据我们对FlowCloud恶意软件的剖析,我们发现它是一个多阶段的Payload,由使用C++编写的大型代码库组成。该代码展示了一定水平的复杂性,其中包罗众多组件,使用了普遍的面向对象程序设计,并使用和正当/仿制的QQ文件举行初始执行和后期执行。我们在剖析整个FlowCloud执行历程中发现了几个模块,这些模块直接对QQ组件举行模拟。而我们之所以将恶意软件命名为FlowCloud,就是取自在众多恶意软件组件中观察到的怪异PDB路径。这些值已经包罗在文章末尾的“威胁指标”一节中。

FlowCloud恶意软件具有基于其可用下令的RAT功效,包罗接见剪贴板、已安装的应用程序、键盘、鼠标、屏幕、文件、服务和历程,并可以通过下令和控制来泄露信息。此外,我们所剖析的恶意软件变种具有几个怪异的特征,这些特征解释该恶意软件至少在2016年7月以来就一直在威胁环境中处于流动状态。

除了针对更新的Windows版本建立的组件之外,FlowCloud样本还删除了仅与Windows版本6(Windows Vista)以及更低版本兼容的32位模块。这个二进制文件的过时,包罗恶意软件代码的可扩展性子,都纷纷解释FlowCloud代码库已经开发了多年。有关FlowCloud恶意软件组件和相关安装目录路径的公然讲述解释,最早在2016年7月就可能在野外观察到该恶意软件的版本。此外,由于该恶意软件会凭据正当的QQ文件举行开发,且在2018年12月有用户从日本将恶意软件样本上传到VirusTotal,今年年初有用户从台湾将恶意样本上传,这些线索都说明,该恶意软件在针对美国的公用事业部门提议攻击之前,可能已经在亚洲活跃了一段时间。

下面的FlowCloud加载程序功效流程图说明晰FlowCloud的加载功效。

FlowCloud功效流程图:

1、恶意软件首先使用恶意宏执行Gup.exe,然后由宏执行文件EhStorAuthn.exe。

2、EhStorAuthn.exe提取后续的Payload文件组件,并将其安装到C:\Windows\Media\SystemPCAXD\ado\fc目录下。该文件还将设置注册表键值,存储键盘纪录驱动程序和恶意软件设置作为“KEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\

3、EhStorAuthn.exe是QQ使用的正当可移植可执行文件,其初始名称为QQSetupEx.exe。该文件用于加载dlcore.dll文件,这原本是其下载程序中的一部分。

4、Dlcore.dll是由威胁参与者精心制作的DLL,充当Shellcode注入程序,从名为rebare.dat的文件中提取Shellcode。该文件模拟了正当的QQ组件。

5、当执行rebare.dat中的Shellcode时,它将依次执行一个名为rescure.dat的RAT安装程序文件。

6、Rescure.dat是XOR加密的DLL文件,它安装了基于RAT的应用程序responsor.dat,该应用程序安装了键盘纪录驱动程序,并治理RAT功效。

7、Responsor.dat将几个模块(rescure86.dat或rescure64.dat)解压缩到注册表%TEMP%\{0d47c9bc-7b04-4d81-9ad8-b2e00681de8e},并将解压缩的文件对应的服务名称改为“FSFilter Activity Monitor”(FSFilter流动监控器)或“FltMgr”。

8、最后,当挪用rescure.dat的startModule函数时,Responsor.dat会启动RAT。

9、该恶意软件还使用了几个正当的Microsoft Windows文件,向其中举行线程注入。

10、EhStorAuthn_shadow.exe(hhw.exe)是一个Microsoft HTML Help Workshop文件,用于线程注入的占位符。

11、Hha.dll是Microsoft HTML Help Workshop的一个组件,而且是运行EhStorAuthn_shadow.exe所必须的。

恶意软件将其设置信息与键盘纪录程序组件所使用的驱动程序一同存储在注册表中。此外,还会天生其他几个差别的注册表项,这些注册表项指示恶意软件在主机上的当前执行阶段。下面列举了其中的一些注册表项。

注册表:HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\2

原始组件:Gup.exe

形貌:32位驱动程序,键盘纪录器

注册表:HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\3

原始组件:Gup.exe

形貌:64位驱动程序,键盘纪录器

注册表:HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\4

原始组件:Gup.exe

形貌:RAT设置

注册表:HKEY_LOCAL_MACHINE\HARDWARE\{2DB80286-1784-48b5-A751-B6ED1F490303}

原始组件:Dlcore.dll

形貌:执行阶段执行dlcore.dll

注册表:HKEY_LOCAL_MACHINE\HARDWARE\{804423C2-F490-4ac3-BFA5-13DEDE63A71A}

原始组件:rescure.dat

形貌:执行阶段,安装键盘纪录驱动程序

注册表:HKEY_LOCAL_MACHINE\HARDWARE\{A5124AF5-DF23-49bf-B0ED-A18ED3DEA027}

原始组件:rescure.dat

形貌:执行阶段,RAT已经完整安装。

五、FlowCloud设置

FlowCloud加载程序组件EhStorAuthn.exe在安装历程的早期就将恶意软件的设置存储在注册表中,如上面的表格所示。注册表数据使用多个加密(使用XOR或ROR)的标头组成,而且使用修改(或损坏)的AES算法对数据举行加密。纯文本数据使用ZLIB压缩,并使用Google的协议缓冲区举行序列化。下图中FlowCloud调试日志展示了设置的示例。

调试日志中展示的设置示例:

六、下令与控制

FlowCloud恶意软件行使自定义的二进制C2协议,将设置更新、文件扩展、执行下令划分作为自力线程来处置。我们将这些自力的线程以为是更普遍的下令处置功效中的一部分,而且每个下令都有差别的下令治理器。我们所剖析的样本使用5555端口举行文件渗透,使用55556端口举行其他所有数据的通讯。我们已经发现,IP地址188.131.233[.]27会开展FlowCloud通讯。请求和响应都是由多个加密头(使用XOR或ROR)和TEA加密数据组成,其中TEA加密数据使用包罗随机编码的硬编码字符串和MD5哈希的密钥来天生。纯文本数据使用ZLIB压缩,并使用Google的协议缓冲区举行序列化。下图展示了剖析初始信标的示例。

对FlowCloud剖析初始C2信标的示例:

七、归因剖析:剖析TA429(APT10)和TA410的恶意流动

此前,FireEye和EnSilo在对TA429(APT10)恶意流动中开展过剖析,其中发现的一些威胁指标在这次TA410流动中再次出现。基于此,我们举行了回首剖析,并确认TA429(APT10)使用了网络钓鱼恶意宏,厥后又被LookBack和FlowCloud恶意软件所使用。此外,我们确定了11月份FlowCloud宏使用的Quasar RAT通报URL hxxp://ffca.caibi379[.]com/rwjh/qtinfo.txt,这个URL此前已经被enSilo发现过,在TA410恶意流动被观察到之前。

有趣的是,在2019年7月使用的多个LookBack恶意软件模块的编译日期为2018年9月14日。其中包罗此前我们曾经在剖析LookBack恶意软件时关注的SodomMain和SodomNormal模块。这个编译日期是在我们对TA429(APT10)所使用宏举行开端剖析的后一天。

只管直至2019年6月我们才在野外观察到LookBack恶意软件样本,但2018年9月的编译日期解释,编译到通报之间还存在着很大的滞后时间。然则,也不能清扫威胁参与者篡改了编译时间的可能性,现在还无法给出准确的判断。

在威胁参与者控制的基础架构上,我们观察到TA410的首次服务器安装发生在2018年12月。LookBack和FlowCloud恶意流动的大多数域名注册(武器化)时间划分是2019年5月和6第一月。这些恶意流动是在我们于2018年9月首次公布研究进展之后举行的。

此外,enSilo在2019年5月24日公布了有关可能与TA429(APT10)相关的Quasar RAT样本的出版物。直到2019年11月第二周,非活跃的URL才被纳入到网络钓鱼宏中,作为FlowCloud针对美国的恶意流动中的一部分。WHOIS纪录和ffca.caibi379[.]com的被动DNS信息解释,该域名的注册人电子邮件和地址字段已经在2019年6月7日更新。该域名的A纪录已经在2019年9月9日更新,剖析为Google拥有的ASN中包罗的一个IP地址34.80.27[.]200。自2019年1月2日最先的8个月来,该域名托管在APNIC Hostmaster拥有的ASN的多个IP上。若是要放弃由APNIC拥有的基础设施资源,就意味着在enSilo公布之后,特别是TA410针对美国公用事业的恶意流动武器化之后,威胁参与者的基础设施托管计谋已经大为改变。只管这项研究并没有得出最终的结论,但我们可以发现,在TA410恶意流动之前,公然发现的所有TA429(APT10)的相似性和威胁指标都是公然的。因此,只管我们不能从当前剖析中得出结论,但仍然存在可能示意这些重叠是TA410威胁参与者的虚伪符号。基于上述剖析,我们现在将TA410和TA429(APT10)视为两个差别的威胁参与者。

八、总结

由于在2019年11月LookBack和FlowCloud恶意软件流动的融合展现了TA410幕后攻击者在针对美国公用事业提供商的单个连续流动中表现出了显著的行使多种工具的能力。这两个恶意软件家族在观点和开发上都表现出一定的成熟水平,而由于FlowCloud恶意软件已经具备可扩展的代码库,由此说明该组织早在2016年以前就疑似已经最先运营。TA410威胁参与者倾向于动态生长网络钓鱼计谋,并敏锐地关注极具针对性的目的行业内潜在目的,开展适当的社会工程。现在我们还不清晰该组织是否会与TA429(APT10)共享计谋和指标,或者其计谋和指标是凭据这些恶意流动前的现有手艺讲述拼集而来的。这些基础结构的重合可能仍然是有意的虚伪标志,以掩饰犯罪者的身份。同时,攻击者针对美国能源厂商的要害和地缘政治敏感部门举行攻击。无论威胁参与者是否就位,TA410都将其自身定位成一个努力的威胁参与者,使用着成熟的工具集,针对高度主要且地理位置集中的目的开展历久的恶意流动。

九、威胁指标

SHA-256

faa80e0692ba120e38924ccd46f6be3c25b8edf7cddaa8960fe9ea632dc4a045(PE附件,基础架构提供ann‮cod.exe)

b7960d1f40b727bbea18a0e5c62bafcb54c9ec73be3e69e787b7ddafd2aae364(PE附件,能源安全课程ann‮cod.exe)

26eb8a1f0bdde626601d039ea0f2c92a7921152371bafe5e811c6a1831f071ce(FlowCloud MS Word宏附件,personal invitation.doc)

cd8f877c9a1c31179b633fd74bd5050e4d48eda29244230348c6f84878d0c33c(投放文件,Cert.pem)

e4ad5d3213425c58778d8a0244df4cd99c748f58852d8ac71b46326efd5b3220(投放文件,pense1.txt)

589229e2bd93100049909edf9825dce24ff963a0c465d969027db34e2eb878b4(投放文件,Temptcm.tmp)

1334c742f2aec7e8412d76ba228b99935a49dc96a1e8e1f3446d9f61247ae47e(投放文件,EhStorAuthn.exe)

de30929ef958211f9315e27a7aa45ef061726a76990ddc6b9d9f189b9fbdd45a(投放文件,dlcore.dll)

0b013ccd9e10d7589994629aed18ffe2388cbd745b5b28ab39c07835295a1ca9(投放文件,rebare.dat)

479954b9e7d5c5f7086a2a1ff1dba99de2eab2e1b1bc75ad8f3b211088eb4ee9(投放文件,rescure.dat)

d5191327a984fab990bfb0e811688e65e9aaa751c3d93fa92487e8a95cb2eea8(投放文件,responsor.dat)

0701cc7eb1af616294e90cbb35c99fa2b29d2aada9fcbdcdaf578b3fcf9b56c7(投放文件,EhStorAuthn_shadow.exe)

27f5df1d35744cf283702fce384ce8cfb2f240bae5d725335ca1b90d6128bd40(投放文件,rescure64.dat)

13e761f459c87c921dfb985cbc6489060eb86b4200c4dd99692d6936de8df5ba(投放文件,rescure86.dat)

2481fd08abac0bfefe8d8b1fa3beb70f8f9424a1601aa08e195c0c14e1547c27(投放文件,hha.dll)

IP

188.131.233[.]27(C&C IP)

118.25.97[.]43(发送者IP)

34.80.27[.]200(发送者IP)

134.209.99[.]169(发送者IP)

101.99.74[.]234(发送者IP)

域名

Asce[.]email(钓鱼域名)

powersafetrainings[.]org(钓名域名)

mails.daveengineer[.]com(钓鱼域名)

powersafetraining[.]net(相关基础设施)

mails.energysemi[.]com(相关基础设施)

www.mails.energysemi[.]com(相关基础设施)

www.powersafetraining[.]net(相关基础设施)

www.powersafetrainings[.]org(相关基础设施)

ffca.caibi379[.]com(宏域名)

URL

http://ffca.caibi379[.]com/rwjh/qtinfo.txt(FlowCloud宏通报URL未启用)

https://www.dropbox[.]com:443/s/ddgifm4ityqwx60/Cert.pem?dl=1(FlowCloud宏通报URL)

注册表项

HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\2

HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\3

HKEY_LOCAL_MACHINE\SYSTEM\Setup\PrintResponsor\4

HKEY_LOCAL_MACHINE\HARDWARE\{2DB80286-1784-48b5-A751-B6ED1F490303}

HKEY_LOCAL_MACHINE\HARDWARE\{804423C2-F490-4ac3-BFA5-13DEDE63A71A}

HKEY_LOCAL_MACHINE\HARDWARE\{A5124AF5-DF23-49bf-B0ED-A18ED3DEA027}

文件路径

G:\FlowCloud\trunk\Dev\src\fcClient\Release\QQSetupEx_func.pdb(FlowCloud PDB路径)

g:\FlowCloud\trunk\Dev\src\fcClient\Release\fcClientDll.pdb(FlowCloud PDB路径)

F:\FlowCloud\trunk\Dev\src\fcClient\kmspy\Driver\Release\Driver.pdb(FlowCloud PDB路径)

F:\FlowCloud\trunk\Dev\src\fcClient\kmspy\Driver\x64\Release\Driver.pdb(FlowCloud PDB路径)

本文翻译自:https://www.proofpoint.com/us/blog/threat-insight/ta410-group-behind-lookback-attacks-against-us-utilities-sector-returns-new:

勒索软件局中局 | 行使伪造的勒索软件解密器再次对用户举行加密

Stop勒索软件主要通过网上一些密码天生器及破解程序举行流传的,这些工具通常是用来让人们免费使用付费的软件,而最大的受害群体无疑是那些学生或青少年,或是与他们共用电脑的亲友们。Stop除了会加密系统上的文件之外,有时还会嵌入其它恶意软件,像是专门偷取密码的木马程序。Stop家族的勒索软件会将系统内文件举行加密,并把它们的文件后缀变更为.djvu、.rumba、.radman或.gero等,然后向受害者索取980美元的费用来换得解密密钥,若是72小时内与黑客联系则会有5折优惠。作为近段时间来颇为常见的勒索软件,市面上预计有160种Stop勒索变种,而正规的解密工具,也许只能解锁其中148种。至于这不能破解的几种变体,就有攻击者最先在这上面动歪心思了。 随着免费勒索软件解密工具最先进入市场,声称可以解密受勒索软件影响文件

,

欧博手机版下载

欢迎进入欧博手机版下载(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

网友评论