HTML Ransomware (Browlock)

F-Secure has good writeups w/ pics.

Domains

http://polizei. de.id418617766-7663 816001.h2558 .com/
http://polizia- penitenziaria.it.id 560639580-7614024630.h2558 .com/
http://fbi.gov. id503845846-4250343 921.e3485 .com/
http://europol. europe.eu.id4571150 76-3952336761.h2558 .com/
http://europol. europe.eu.france.id 939452574-6333297494.s1523 .com/
http://politie. nl.id710883125-2999 810328.v2783 .com/
http://afp.gov. au.id242687187-1661 635308.z3476 .com/
http://police.h u.id134465522-91392 26962.e6751 .com/
http://policia. es.id130353034-4831 771390.k5741 .com/
http://rcmp.gc. ca.id768819119-3487 405861.z3476 .com/
http://polizei. gv.at.id912354877-1 044451441.e2456 .com/
http://police.g ovt.nz.id657546456- 3999456674.e9635 .com/
http://polisen. se.id537054689-8785 274190.i6468 .com/
http://politi.n o.id549630431-46653 99949.e8679 .com
http://polfed-f edpol.be.id32168266 1-5528465056.z3476 .com/
http://policja. pl.id906759031-7211 363077.p8569 .com/
http://cyberpol ice.lt.id252161139- 4927948242 .q3754.com
http://cybercri meunit.gr.id2521611 39-4927948242.q3754 .com
http://astynomi a.gr.id252161139-49 27948242.q3754 .com
http://asp.gov. al.id252161139-4927 948242.q3754 .com
http://egm.gov. tr.id186914923-5094 277828.o4854 .com
http://fia.gov. pk.id252161139-4927 948242.q3754 .com/
http://poliisi. no.id252161139-4927 948242.q3754 .com/
http://nr3c.gov .pk.id252161139-492 7948242.q3754 .com/
http://npa.go.j p.id423342221-90402 40625.h6785 .com/
http://npb.gov. pk.id252161139-4927 948242.q3754 .com/
http://mchs.gov .ru.id252161139-492 7948242.q3754 .com/
http://logregla .is.id252161139-492 7948242.q3754 .com/
http://mvr.bg.i d252161139-49279482 42.q3754 .com/
http://politiar omana.ro.id25216113 9-4927948242.q3754 .com/
http://police.i s.id252161139-49279 48242.q3754 .com/
http://rusipa.r u.id252161139-49279 48242.q3754 .com/
http://police.g ov.mt.id252161139-4 927948242.q3754 .com/
http://policija .hr.id252161139-492 7948242.q3754 .com/
http://mvdrf.ru .id252161139-492794 8242.q3754 .com/

Recent IPs

193.169.87.14
195.20.141.61
91.220.131.56
91.220.131.106
91.220.131.193
91.220.131.108

Regex

URI:
\/\?flow_id[0-9&=]+\/case_id=[0-9]+$

Domains:
\.id[0-9]{9}\-[0-9]{10}\.[a-z][0-9]{4}\.com$

Comments are closed.