STOP Ransomware
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
Classificação: | 116 |
Nível da Ameaça: | 100 % (Alto) |
Computadores infectados: | 358,443 |
Visto pela Primeira Vez: | November 29, 2018 |
Visto pela Última Vez: | March 7, 2024 |
SO (s) Afetados: | Windows |
Os pesquisadores de segurança do PC receberam relatórios de ataques de ransomware envolvendo uma ameaça conhecida como STOP Ransomware em 21 de fevereiro de 2018. O STOP Ransomware é baseado em uma plataforma de ransomware de fonte aberta e executa a versão típica de um ataque de ransomware de criptografia. O STOP Ransomware é distribuído usando mensagens de email de spam contendo anexos de arquivos corrompidos. Esses anexos de arquivos assumem a forma de arquivos DOCX com scripts de macro incorporados que baixam e instalam o STOP Ransomware no computador da vítima. Aprender a reconhecer os e-mails de phishing e evitar baixar os anexos de arquivos não solicitados é uma das maneiras de evitar esses ataques.
Índice
Como Reconhecer uma Infecção pelo STOP Ransomware
Uma vez que o STOP Ransomware estiver instalado no computador da vítima, o STOP Ransomware pesquisará os drives da vítima em busca de uma grande variedade de tipos de arquivos, geralmente procurando pelos arquivos gerados pelos usuários, tais como imagens, arquivos de mídia e vários outros tipos de documentos. O STOP Ransomware parece ser também projetado para atingir os servidores da Web, pois procura por arquivos de banco de dados e tipos de arquivos semelhantes normalmente contidos explicitamente nessas máquinas. Os tipos de arquivo que o STOP Ransomware procurará e terá como alvo em seu ataque incluem:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.
O STOP Ransomware usa um forte algoritmo de criptografia para tornar inacessíveis cada um dos arquivos da vítima. O ataque do STOP Ransomware adicionará a extensão de arquivo '.SUSPENDED' aos arquivos que ele codifica, como uma forma de marcar os arquivos afetados.
O Pedido de Resgate do STOP Ransomware
O STOP Ransomware exige o pagamento de um resgate enviando uma nota de resgate ao computador da vítima. Essa nota de resgate é exibida em um arquivo de texto descartado na área de trabalho da vítima. O arquivo, chamado '!!! YourDataRestore !!!. Txt', contém a mensagem:
'Todos os seus arquivos importantes foram criptografados neste PC.
Todos os arquivos com extensão .STOP estão criptografados. A criptografia foi produzida usando uma chave particular RSA-1024 exclusiva gerada para este computador.
Para descriptografar seus arquivos, você precisa obter a chave privada + software decodificador.
Para recuperar a chave privada e o software de descodificação, você precisa entrar em contato conosco por email stopfilesrestore@bitmessage.ch envie-nos um e-mail seu arquivo !!! YourDataRestore !!! .txt e aguarde mais instruções.
Para você ter certeza, que podemos decifrar seus arquivos - você pode nos enviar qualquer arquivo 1-3, não muito grande criptografado enviá-lo de volta na forma original.
Preço para decodificação $600 se você nos contatar as primeiras 72 horas.
Seu ID pessoal:
[CARACTERES ALEATÓRIOS]
Endereço de e-mail para contatar-nos:
stopfilesrestoret@bitmessage.ch
Reserve o endereço de e-mail para contatar-nos:
stopfilesrestore@india.com'
As pessoas responsáveis pelo STOP Ransomware exigem o pagamento de um resgate de 600 USD a serem pagos enviando Bitcoins para um endereço de carteira de Bitcoin específico, dentro de 72 horas. No entanto, entrar em contato com essas pessoas ou pagar o resgate do STOP Ransomware pode não ser a melhor solução.
Protegendo os Seus Dados contra o STOP Ransomware e Outros Trojans Ransomware
A melhor proteção contra o STOP Ransomware e outros Trojans ransomware é ter backups dos seus arquivos. Os usuários de computador que têm cópias de backup dos seus arquivos podem recuperar esses arquivos facilmente após um ataque, sem ter que recorrer ao pagamento do resgate. Um programa de segurança bem recomendado também pode impedir que o STOP Ransomware seja instalado.
Atualização de 6 de dezembro de 2018em — 'helpshadow@india.com' Ransomware
O 'helpshadow@india.com' Ransomware é categorizado como uma atualização relativamente pequena para o código que carrega a marca do STOP Ransomware. Os autores de ameaças não parecem dedicar tempo suficiente para polir essa nova variante, uma vez que ela registrou uma baixa taxa de infecção. O 'helphadow@india.com' Ransomware foi detectado rapidamente pelos fornecedores de anti-vírus e os alertas foram emitidos por meio de grandes plataformas sociais e relatórios de segurança cibernética. Infelizmente, ainda não há possibilidade de uma descriptografia gratuita. Os usuários geralmente são comprometidos por meio de um documento corrompido recebido por email. A ameaça é conhecida por apagar os instantâneos do Shadow Volume criados pelo Windows e anexar a extensão '.shadow' aos objetos codificados. Por exemplo, 'C12-H22-O11.pptx' é renomeado para 'C12-H22-O11.pptx.shadow' e uma nota de resgate chamada '!Readme.txt' aparece na área de trabalho. É provável que o 'helphadow@india.com' Ransomware mostre a seguinte mensagem aos usuários infectados:
'TODOS OS SEUS ARQUIVOS ESTÃO ENCRIPTADOS
Não se preocupe, você pode devolver todos os seus arquivos!
Todos os seus arquivos de documentos, fotos, bancos de dados e outros importantes são criptografados com criptografia mais forte e chave única.
O único método de recuperar arquivos é comprar a ferramenta de descriptografia e chave exclusiva para você.
Este software irá descriptografar todos os seus arquivos criptografados.
Que garantias damos a você?
Você pode enviar um dos seus arquivos criptografados do seu PC e nós o descriptografamos gratuitamente.
Mas podemos descriptografar apenas 1 arquivo gratuitamente. O arquivo não deve conter informações valiosas
Não tente usar ferramentas de descriptografia de terceiros porque isso destruirá seus arquivos.
Desconto de 50% disponível se você nos contatar pela primeira vez 72 horas.
Para obter este software, você precisa escrever em nosso e-mail:
helpshadow@india.com
Reserve um endereço de e-mail para nos contatar:
helpshadow@firemail.cc
Seu ID pessoal:
[caracteres aleatórios]'
O texto mostrado acima é usado por variantes do 'helpshadow@india.com' Ransomware lançadas anteriormente e a única alteração digna de nota é a nova configuração de e-mails. O 'helpshadow@india.com' Ransomware é nomeado com base em um dos contatos de e-mail, e o outro encaminha os usuários para o mesmo nome de usuário, mas em uma plataforma de e-mail diferente - 'helpshadow@firemail.cc'. Ambas as contas de e-mail provavelmente estarão encerradas no momento em que este artigo chegar até você. As chances de encontrar quem está por trás do 'helphadow@india.com' Ransomware não são grandes, considerando que os operadores de ransomware usam proxies, serviços VPN e a rede TOR para ocultar os seus dispositivos de controle. Assim, os usuários precisam ser proativos na defesa dos seus dados. Etapa número um - instale um programa de backup no seu sistema; passo número dois - não abra arquivos de remetentes desconhecidos. Lembre-se de exportar os seus backups de dados para um armazenamento de memória removível ou para um serviço de hospedagem de arquivos.
Atualização de 13 de dezembro de 2018 — '.djvu File Extension' Ransomware
O '.djvu File Extension' Ransomware é uma nova variante do STOP Ransomware que foi divulgada em 12 de dezembro de 2018. Os pesquisadores de segurança computacional classificam o '.djvu File Extension' Ransomware como uma pequena atualização para as versões anteriores do STOP Ransomware e alertam que a ameaça ainda é distribuída principalmente por e-mails de spam. Os agentes de ameaças têm usado falsos documentos habilitados para macro e PDFs para induzir os usuários a instalar os seus programas silenciosamente. Os ataques com o '.djvu File Extension' Ransomware são quase os mesmos da primeira onda de infecções em fevereiro de 2018. A ameaça exclui as capturas de tela e mapas do Shadow Volume conectados às unidades de memória antes de criptografar os dados do usuário. A nova variante suporta uma extensão de arquivo diferente e a nota de resgate é alterada ligeiramente. Como o nome indica, os arquivos recebem o sufixo '.djvu' e algo como 'Jonne-Kaiho.mp3' é renomeado para 'Jonne-Kaiho.mp3.djvu'. A nota de resgate pode ser vista na área de trabalho como '_openme.txt' e diz:
'TODOS OS SEUS ARQUIVOS ESTÃO ENCRIPTADOS
Não se preocupe, você pode devolver todos os seus arquivos!
Todos os seus arquivos de documentos, fotos, bancos de dados e outros importantes são criptografados com criptografia mais forte e chave única.
O único método de recuperar arquivos é comprar a ferramenta de descriptografia e chave exclusiva para você.
Este software irá descriptografar todos os seus arquivos criptografados.
Que garantias damos a você?
Você pode enviar um dos seus arquivos criptografados do seu PC e nós o descriptografamos gratuitamente.
Mas podemos descriptografar apenas 1 arquivo gratuitamente. O arquivo não deve conter informações valiosas
Não tente usar ferramentas de descriptografia de terceiros porque isso destruirá seus arquivos.
Desconto de 50% disponível se você nos contatar pela primeira vez 72 horas.
Para obter este software, você precisa escrever em nosso e-mail:
helpshadow@india.com
Reserve um endereço de e-mail para nos contatar:
helpshadow@firemail.cc
Seu ID pessoal:
[caracteres aleatórios]'
Os autores de ameaças continuam a usar as contas de e-mail 'helpshadow@india.com' e 'helpshadow@firemail.cc' para a sua campanha de ransomware. Não confie na equipe do STOP Ransomware e evite usar o falso desconto de 50% mencionado acima. Os agentes de ameaça discutidos aqui não são conhecidos por sua leniência. Os usuários de PC devem remover o '.djvu File Extension' Ransomware usando um instrumento anti-malware confiável. É melhor usar imagens de backup e serviços de backup para recuperar seus dados.
Atualização de 11 de janeiro de 2019 - '.tfude File Extension' Ransomware
O '.tfude File Extension' Ransomware é uma outra versão do STOP Ransomware que foi lançada em 11 de janeiro de 2019. A ameaça é classificada como uma versão que exibe modificações mínimas em comparação com a ameaça cibernética original. O '.tfude File Extension' Ransomware é nomeado de acordo com a única mudança notável no seu código corrompido. O Trojan foi configurado para anexar a extensão de arquivo '.tfude' aos dados criptografados. O '.tfude File Extension' Ransomware continua a usar tecnologias de criptografia padrão e conexões seguras com os servidores de Comando que impedem os especialistas em segurança de oferecer descriptografia gratuita aos usuários comprometidos.
A ameaça de criptografia em questão utiliza a tecnologias de criptografia que agências governamentais e empresas como o Google empregam para proteger as transmissões de dados. Os arquivos criptografados são exibidos no Windows Explorer como ícones brancos genéricos e os programas que o usuário instalou permanecem funcionais. No entanto, alguns gerenciadores de bancos de dados podem não funcionar corretamente, pois a ameaça codifica os formatos populares de banco de dados. Por exemplo, 'Recent sales.pdb' é renomeado como 'Recent sales.pdb.tfude.' A nota de resgate é carregada no bloco de notas do arquivo '_openme.txt', que pode ser encontrado na área de trabalho. O '.tfude File Extension' Ransomware oferece a mesma mensagem que o Trojan original, mas desta vez os agentes de ameaças estão usando a conta de email 'pdfhelp@firemail.cc' para entrar em contato com os usuários. Não há decodificador grátis disponível para os usuários, e você precisará usar backups dos dados para se recuperar. Você precisará limpar os dispositivos infectados executando uma verificação completa do sistema com um instrumento anti-malware respeitável.
'pausa@bitmessage.ch' Ransomware.
Atualização de 23 de janeiro de 2019 - 'pausa@bitmessage.ch' Ransomware
O 'pausa@bitmessage.ch' Ransomware é um malware codificador de arquivos que é produzido com o Construtor do STOP Ransomware. O 'pausa@bitmessage.ch' Ransomware foi entregue aos usuários de PC via e-mails de spam na primeira semana de maio de 2018. O 'pausa@bitmessage.ch' Ransomware é percebido como um Trojan genérico de criptografia que substitui dados nos computadores infectados e exclui os instantâneos do Shadow Volume para obstruir a recuperação. O 'pausa@bitmessage.ch' Ransomware é conhecido por usar as mesmas tecnologias de criptografia que outros Ransomware bem-sucedidos, tais como Cerber e Dharma, para citar alguns. O 'pausa@bitmessage.ch' Ransomware foi programado para ser executado na pasta Temp no diretório AppData e aplicar a criptografia AES-256 nos documentos, vídeos, músicas, bancos de dados e e-books. Os dados codificados recebem a extensão '.PAUSA' e algo como 'Hartmann-Save me.mp3' é renomeado como 'Hartmann-Save me.mp3.pausa'. A notificação de resgate é salva como '!!RESTORE!!!.Txt' na área de trabalho do usuário e diz:
'Todos os seus arquivos importantes foram criptografados neste PC.
Todos os arquivos com extensão .PAUSA são criptografados.
A criptografia foi produzida usando a chave privada exclusiva RSA-1024 gerada para este computador.
Para descriptografar seus arquivos, você precisa obter a chave privada + descriptografar o software.
Para recuperar a chave privada e descriptografar o software, você precisa entrar em contato pelo e-mail pausa@bitmessage.ch envie-nos um e-mail com seu arquivo !!! RESTORE !!! .xt e aguarde mais instruções.
Para você ter certeza, que podemos descriptografar seus arquivos - você pode nos enviar um 1-3 qualquer arquivo criptografado não muito grande e nós lhe enviaremos de volta em um formato original GRÁTIS.
Preço para decodificação $ 600 se você entrar em contato conosco pela primeira vez 72 horas.
Seu id pessoal:
[caracteres aleatórios]
E-mail para nos contatar:
pausa@bitmessage.ch
Reserve um endereço de e-mail para nos contatar:
pausa@india.com '
Recomendamos que você evite negociações com os agentes de ameaça através das contas de email 'pausa@bitmessage.ch' e 'pausa@india.com'. É mais seguro inicializar os backups de dados e limpar o seu sistema com a ajuda de uma ferramenta anti-malware de boa reputação. Mesmo que você pagar o resgate de US $600, não há garantia de que você receberá um decodificador. Os usuários de PC são incentivados a fazer backups dos dados pelo menos duas vezes por mês e ignorar as mensagens de spam que podem levar a um comprometimento da segurança. As empresas de anti-vírus suportam regras de detecção para o ransomware 'pausa@bitmessage.ch', mas não há um decodificador gratuito disponível no momento da escrita.
Atualização de 23 de janeiro de 2019 - 'waiting@bitmessage.ch' Ransomware
O 'waiting@bitmessage.ch' Ransomware é um Trojan de criptografia baseado no STOP Ransomware. O 'waiting@bitmessage.ch' Ransomware foi denunciado pelos usuários comprometidos em 18 de abril de 2018 e parece invadir computadores através de documentos corrompidos do Microsoft Word. O Ransomware 'waiting@bitmessage.ch' criptografa fotos, áudio, vídeo e texto nos computadores infectados. Infelizmente, os autores de malware adicionaram um comando para excluir os instantâneos do Shadow Volume que o Windows faz para proteger os seus dados. O Trojan sobrescreve os dados visados com arquivos que carregam a extensão '.WAITING' e não podem ser abertos com o software do seu sistema. Por exemplo, 'Hartmann-Like a River.mp3' é renomeado como 'Hartmann-Like a River.mp3.waiting' e uma mensagem de resgate é colocada em sua área de trabalho. O 'waiting@bitmessage.ch' Ransomware grava '!!!INFO_RESTORE!!!.Txt' na área de trabalho e mostra o seguinte texto:
'Todos os seus arquivos importantes foram criptografados neste PC.
Todos os arquivos com extensão .WAITING são criptografados.
A criptografia foi produzida usando a chave privada exclusiva RSA-1024 gerada para este computador.
Para descriptografar seus arquivos, você precisa obter a chave privada + descriptografar o software.
Para recuperar a chave privada e descriptografar o software, entre em contato conosco pelo e-mail waiting@bitmessage.ch envie-nos um e-mail com o arquivo !!! INFO_RESTORE !!! .xt e aguarde mais instruções.
Para você ter certeza, que podemos descriptografar seus arquivos - você pode nos enviar um 1-3 qualquer arquivo criptografado não muito grande e nós lhe enviaremos de volta em um formato original GRÁTIS.
Preço para decodificação $ 600 se você entrar em contato conosco pela primeira vez 72 horas.
Seu id pessoal:
[caracteres aleatórios]
E-mail para nos contatar:
waiting@bitmessage.ch
Reserve um endereço de email para nos contactar:
waiting@india.com '
O malware não interfere nas ferramentas de backup de terceiros e você deve conseguir inicializar os backups de dados. Recomenda-se evitar a interação com os agentes de ameaça por meio dos endereços de e-mail 'waiting@bitmessage.ch' e 'waiting@india.com'. Você pode estar interessado em explorar os serviços de hospedagem de arquivos se quiser proteger os seus backups de dados contra ameaças cibernéticas transmitidas pela rede e a maioria das variantes de ransomware, como o 'waiting@bitmessage.ch' Ransomware.
SpyHunter detecta e remove STOP Ransomware
STOP Ransomware capturas de tela
Detalhes Sobre os Arquivos do Sistema
# | Nome do arquivo | MD5 |
Detecções
Detecções: O número de casos confirmados e suspeitos de uma determinada ameaça detectada nos computadores infectados conforme relatado pelo SpyHunter.
|
---|---|---|---|
1. | BB30.exe | f8ef98bbaff6ac82dacde20ee90bfa55 | 4,204 |
2. | 5F1F.exe | b5b59a34192343da2c0fc84fb3bb6b2e | 3,154 |
3. | 3ffa.exe | a0192bd5d8164e61819890e908fa0e7d | 1,890 |
4. | 97DE.tmp.exe | 4e8f1415dd3366f81fa3960db4cf70f9 | 1,772 |
5. | 1368.tmp.exe | 8cebee5086592386fa86f3ee5bacc0d2 | 1,647 |
6. | 9686685955.exe | 5c71f8c3bb000d163fc2e63c089b35a1 | 1,630 |
7. | a395.tmp.exe | 536f955ae69e666b44aac54c7619b9b1 | 1,589 |
8. | 3823.TMP.EXE.WPT | d4fceee0f4fe0f1b50a5c957eab5151b | 1,500 |
9. | 512B.tmp.exe | 89b1b4f3f6ec190865abaa7f61046ee5 | 1,255 |
10. | 3344.exe | 6a4d9e0ad2a5361dd947537182f5692d | 1,240 |
11. | d5e2.tmp.exe | 4c1b9a14dda6a74b7abff708758d98f6 | 1,038 |
12. | B117.tmp.exe | 283bf952e656763a94626cac01d7bc85 | 979 |
13. | 25b9.tmp.exe | 9bd737b220a4040dbcaf17f48be54a98 | 825 |
14. | 3A93.tmp.exe | d5995275a4d96672ed08cc6188143a7a | 773 |
15. | 2c6b.tmp.exe | ac2dffb783aed99d77ecc2006a29d971 | 744 |
16. | 618.tmp.exe | 99ba307185c56cfb6d9ea965fcfef083 | 719 |
17. | 160f.tmp.exe | 3a1a3c4b4b3de474b574f48198d6e41e | 647 |
18. | 1df7.tmp.exe | ad5a82caee53510fafcdfcddfa74daae | 54 |
19. | 5cd3.tmp.exe | 1569c3b648b4c63ae39ddc2d2d91b7d5 | 14 |
20. | e5cb.tmp.exe | 031ff93d3e55a84f475cf0b563fe7f65 | 14 |
21. | 5dcc.tmp.exe | e3b973420daf30a4180f60337a2eaf90 | 14 |
22. | 6fa4.tmp.exe | 67e8f528b4db3443a74718443a2fc788 | 12 |
23. | cc0.tmp.exe | 0564489cff6c549ca82b7a470b305346 | 11 |
24. | c11d.tmp.exe | a0eb1e740d92c51576ed117d8b6de3c5 | 11 |
25. | ransomware.exe | fdc340769c3ca364f6cc7ca1be99762b | 0 |
Detalhes sobre o Registro
Diretórios
STOP Ransomware pode criar o seguinte diretório ou diretórios:
%ALLUSERSPROFILE%\tzjajmmqgl |
%PROGRAMFILES%\3DMarkproed |
%PROGRAMFILES%\3DMarkproediot |
%PROGRAMFILES%\3DMarkproedit |
%PROGRAMFILES%\3Dmarkproa |
%PROGRAMFILES%\Blubnerg |
%PROGRAMFILES%\Cry\Cryp |
%PROGRAMFILES%\Davai |
%PROGRAMFILES%\Glary\Utilities\Settings |
%PROGRAMFILES%\Hyps |
%PROGRAMFILES%\Innovativ\ddd |
%PROGRAMFILES%\Ivp\bin |
%PROGRAMFILES%\Laertseer |
%PROGRAMFILES%\Lawer\Xor |
%PROGRAMFILES%\Marg\Cr |
%PROGRAMFILES%\Mup\Cr |
%PROGRAMFILES%\Opute |
%PROGRAMFILES%\Rondom |
%PROGRAMFILES%\Sir\Air |
%PROGRAMFILES%\Tryhd |
%PROGRAMFILES%\cedfs |
%PROGRAMFILES%\chrum\xon\note |
%PROGRAMFILES%\company\3dmarkssdf |
%PROGRAMFILES%\company\64Product |
%PROGRAMFILES%\crights\file\xml |
%PROGRAMFILES%\cryptoss |
%PROGRAMFILES%\crys\cry |
%PROGRAMFILES%\crysp\cryq |
%PROGRAMFILES%\der\supr |
%PROGRAMFILES%\dera\kii |
%PROGRAMFILES%\ferr\seda\sx\bin |
%PROGRAMFILES%\hop |
%PROGRAMFILES%\inner\win\bin |
%PROGRAMFILES%\krontal |
%PROGRAMFILES%\laert |
%PROGRAMFILES%\laerts |
%PROGRAMFILES%\lass\inst |
%PROGRAMFILES%\lastpass\bur\tronfiles |
%PROGRAMFILES%\lawop |
%PROGRAMFILES%\lawops |
%PROGRAMFILES%\margin\marg |
%PROGRAMFILES%\opur |
%PROGRAMFILES%\sccsd |
%PROGRAMFILES%\sir\xd |
%PROGRAMFILES%\virtka |
%PROGRAMFILES%\xery |
%PROGRAMFILES%\youtubedown |
%PROGRAMFILES(x86)%\3DMarkproed |
%PROGRAMFILES(x86)%\3DMarkproediot |
%PROGRAMFILES(x86)%\3DMarkproedit |
%PROGRAMFILES(x86)%\3Dmarkproa |
%PROGRAMFILES(x86)%\Blubnerg |
%PROGRAMFILES(x86)%\Cry\Cryp |
%PROGRAMFILES(x86)%\Davai |
%PROGRAMFILES(x86)%\Hyps |
%PROGRAMFILES(x86)%\Innovativ\ddd |
%PROGRAMFILES(x86)%\Laertseer |
%PROGRAMFILES(x86)%\Lawer\Xor |
%PROGRAMFILES(x86)%\Marg\Cr |
%PROGRAMFILES(x86)%\Mup\Cr |
%PROGRAMFILES(x86)%\Opute |
%PROGRAMFILES(x86)%\Rondom |
%PROGRAMFILES(x86)%\Sir\Air |
%PROGRAMFILES(x86)%\Tryhd |
%PROGRAMFILES(x86)%\cedfs |
%PROGRAMFILES(x86)%\chrum\xon\note |
%PROGRAMFILES(x86)%\company\3dmarkssdf |
%PROGRAMFILES(x86)%\company\64Product |
%PROGRAMFILES(x86)%\crights\file\xml |
%PROGRAMFILES(x86)%\cryptoss |
%PROGRAMFILES(x86)%\crys\cry |
%PROGRAMFILES(x86)%\crysp\cryq |
%PROGRAMFILES(x86)%\der\supr |
%PROGRAMFILES(x86)%\dera\kii |
%PROGRAMFILES(x86)%\ferr\seda\sx\bin |
%PROGRAMFILES(x86)%\hop |
%PROGRAMFILES(x86)%\inner\win\bin |
%PROGRAMFILES(x86)%\krontal |
%PROGRAMFILES(x86)%\laert |
%PROGRAMFILES(x86)%\laerts |
%PROGRAMFILES(x86)%\lass\inst |
%PROGRAMFILES(x86)%\lastpass\bur\tronfiles |
%PROGRAMFILES(x86)%\lawop |
%PROGRAMFILES(x86)%\lawops |
%PROGRAMFILES(x86)%\margin\marg |
%PROGRAMFILES(x86)%\opur |
%PROGRAMFILES(x86)%\sccsd |
%PROGRAMFILES(x86)%\sir\xd |
%PROGRAMFILES(x86)%\virtka |
%PROGRAMFILES(x86)%\xery |
%PROGRAMFILES(x86)%\youtubedown |
%ProgramFiles%\kiss\me |
%ProgramFiles%\mroz\new\trunk |
%ProgramFiles(x86)%\kiss\me |
%ProgramFiles(x86)%\mroz\new\trunk |